Что такое vpn. Что такое виртуальная частная сеть VPN? Количество одновременных соединений

Привет, друзья! Многие люди пользуются интернетом по принципу “мне нечего скрывать”, но это все равно что сказать “мне плевать на мои права”. Эта статья для тех, кому не плевать на свои права, а также для тех, кто думает о безопасности в интернете. Я расскажу вам простыми словами о том, что такое VPN, зачем он нужен, а также как им пользоваться.

Что такое VPN

VPN расшифровывается как Virtual Private Network. В переводе на русский – виртуальная частная сеть. Впн – это технология, которая обеспечивает зашифрованное соединение поверх вашего интернет-соединения.

Благодаря VPN вы будете защищены от перехвата логинов/паролей в незащищенных или публичных WI-FI точках, история вашего посещения сайтов не будет доступна никому, а блокировки сайтов вы забудете как страшный сон. Это относится и к торрентам, и к любым другим якобы запрещенным сайтам.

К индустрии проектов руки “блокировщиков” тоже дотянулись. Недавно была заблокирована популярная биржа биткоинов, крупный форум об инвестициях и ещё неизвестно сколько сайтов. Заблокировать могут и доступ к сайту любой платежной системы, например к . Благо что нелепые блокировки пользователей VPN не касаются:)

Что делает ВПН

1. VPN подменяет ваш реальный IP на подставной, например на итальянский или нидерландский, если вы используете VPN, то вы в сети практически невидимы. Вы заходите на сайт, а видят что вы, к примеру, не из России, а из Германии. За счет этого вам не страшны никакие блокировки сайтов.

2. Зашифровывает соединение – ни ваш провайдер, ни сисадмин на работе не узнает куда вы заходили.
- Что вообще видит сисадмин/провайдер, когда вы без VPN? Всю историю вашего серфинга, всё без исключения сайты, на которые вы заходите.
- Что он видит, когда вы работаете через VPN? Что вы подключились через VPN и… всё, больше ему ничего неизвестно:)
А также злоумышленники при перехвате данных не смогут их распознать из-за шифрования.

3. В сумме с подменой IP и шифрованием трафика вы становитесь полностью анонимны.

Зачем нужен VPN

• Если вы любите посещать кафе и сидите там в интернете через Wi-Fi или часто путешествуете и подключаетесь к открытым Wi-Fi точкам - никакой наглый хакер, сидящий за соседним столиком, не перехватит данные вашей пластиковой карты с CVV­ кодом или не украдет пароль от платежной системы вместе с вашими деньгами. Причем не важно, работаете ли вы с ноутбука или с мобильного устройства – без ВПН они одинаково не защищены.
• Вы цените анонимность и вам неприятен тот факт, что любой сисадмин провайдера имеет доступ к посещенным вами сайтам или с каких ЭПС вы пополняете/снимаете крупные суммы. Провайдер больше не будет знать, какие сайты вы посещаете, а сайты не будут знать, кто их посетил.
• На работе любите сидеть в YouTube/ВКонтакте/мессенджерах, но не хотите, чтобы это пронюхал начальник или сисадмин. Знаю, что вы успешный инвестор и давно не ходите на работу, это я так, на всякий случай:)
• Хотите видеть интернет таким, каким он должен быть – посещать сайты без ограничений службы, которая просто пачками блокирует сайты. На момент написания статьи заблокировано более 2 млн сайтов (статистика ведется ). Также не редкость, когда требуют блокировки определенной страницы или раздела, а провайдер не разбираясь блочит весь сайт.
• Любимый сервис ограничивает доступ из вашей страны или предоставляет привилегии/бонусы/скидки конкретным странам? С помощью ВПН станьте резидентом любой страны и получайте все преимущества сервисов.

Как пользоваться VPN (на примере NordVPN)

Сам я сижу в интернете только через ВПН и могу порекомендовать отличный сервис под названием NordVPN. Скажу сразу, сервис платный, стоимость 12$ в месяц, при оплате на пол года стоимость за месяц 9$, при оплате на год – 7$.

Да, в интернете полно бесплатных VPN сервисов, но содержание серверов стоит денег, поэтому если сервис не берет с вас оплаты, он зарабатывает на вас как-то иначе и это «иначе» может обойтись гораздо дороже, чем оплата надежного VPN. Безопасность – не тот вопрос, на котором стоит экономить.

Обзор NordVPN, его возможности

• Практически никакого влияния на скорость подключения, лично проверено:)
• Поддержка Windows, MacOS X, Linux, Android, iOS;
• Возможность использовать один аккаунт на 6-ти устройствах одновременно;
• На выбор доступно более 50 стран и свыше 500 серверов;
• Подключение к NordVPN одним кликом;
• Если у вас пропадет VPN соединение, автоматически закроются программы, которые вы указали в настройках. Можно не волноваться за утечку данных;
• Защита от распознавания через DNS и WebRTC (это ребята, через которые виден ваш реальный IP даже при включенном VPN);
• Поддержка DoubleVPN (цепочка из двух впн серверов);
• Никаких ограничений: торренты, звонки, HD видео, онлайн игры – всё работает без проблем;
• Поддержка биткоинов и оплаты через пластиковые карты. Но мы ведь любим анонимность, поэтому если вы ещё не завели себе биткоин кошелек, ловите инструкцию ;
• Любые запросы игнорируются, потому что сервис находится под юрисдикцией Панамы и не подчиняется законам других стран.

Создаем аккаунт в NordVPN

1) Переходим по ссылке , нажимаем “Получить VPN” и выбираем тариф.
2) Нас перекидывает на форму регистрации аккаунта. Выбираем тариф, заполняем email и пароль, выбираем удобный вариант оплаты и жмем “Зарегистрироваться”.
3) Подтверждаем оплату и заходим в личный кабинет с помощью логина и пароля .

Скачиваем клиент и включаем VPN (на примере Windows)

1) В личном кабинете на сайте переходим во вкладку “Область загрузки”, находим свою операционную систему и качаем клиент. Если у вас Windows, то выбирайте строчку, рядом с которой стоит “recommended”. Если вам нужен VPN на мобильном устройстве, найдите NordVPN в своем магазине приложений и скачайте.

2) Устанавливаем программу и запускаем её. На скриншоте ниже видно, как выглядит программа (скрин увеличивается по клику). Во вкладке “Servers ” вы можете выбрать любую страну для подключения.

Настройка NordVPN

Если вы хотите максимальной защиты и всё настроить под себя, тогда нажмите на “Settings”:

За что отвечает каждый пункт:

Automatic updates – при выходе новых версий обновлять программу автоматически;
Auto connect to – при запуске NordVPN автоматически подключится к выбранному серверу;
Start NordVPN on startup – запускать VPN вместе со стартом системы;
Kill switch – выбрать программы, которые автоматически закроются, если соединение с VPN пропадет. Для выбора программы нажмите “Add more applicatios” и найдите на компьютере нужную программу, к примеру браузер и мессенджер;
Notifications – получать уведомления, когда происходит соединение или отключение от НордВПН;
Show tray icon – показывать значок программы в системном трее;
Start minimized – стартовать в свёрнутом виде;
System of measurement – выбрать в метрической (км) или имперской системе (мили) показывать расстояние до серверов.

Скоро на сайте появятся статьи рассказывающие об анонимности в сети с помощью VPN. Мы будем настраивать VPN на разных устройствах. Для того чтобы не писать каждый раз в каждой статье что такое виртуальная частная сеть VPN я и решил написать данную статью.

Если вы интересуетесь вопросами анонимности в сети, советую почитать статью « » где мы рассказывали про прокси подключения, зачем нужны прокси и какие бывают виды.

В данной статье я не буду копать глубоко. Я лишь расскажу о самом важном, что необходимо знать человеку, который задумывается об анонимности в сети.

Виртуальная частная сеть Virtual Private Network (VPN) - это технологии, предоставляющие возможность обеспечивать одно или же сразу несколько сетевых соединений поверх другой сети, например, Интернета.

Данное соединение имеет вид зашифрованного туннеля, который связывает напрямую компьютер пользователя и удаленный сервер, что позволяет не только , но также зашифровать свой трафик. Иначе говоря, таким образом вы сумеете скачивать что угодно и откуда угодно, и об этом никто не узнает.

Виды VPN подключений

Можно настроить такие виды VPN-подключений, как перечисленные ниже. Как я говорил ранее, вся информация сведена до необходимого минимума. Подробности читайте в специализированной литературе.

Виртуальная частная сеть РРТР

РРТР - Point-toPoint Tunneling Protocol -туннельный протокол типа «точка-точка», который поможет установить защищенный туннель в незащищенной сети. Он является наиболее популярным способом VPN-подключения, однако многие интернет-провайдеры блокируют работу таких приложений.

Виртуальная частная сеть OpenVPN

OpenVPN - представляет собой свободную реализацию данной технологии с предоставлением открытого кода для создания своих зашифрованных каналов по типам «точка-точка» или «сервер-клиент». Последний позволяет использовать в качестве VPN-сервера другой компьютер. Однако для настройки туннеля требуется установка специального программного обеспечения вкупе со знаниями для работы с ним.

Виртуальная частная сеть L2TP

L2TP (Layer 2 Tunneling Protocol) - наиболее трудоемкий для настройки вид VPN-туннеля, но позволяющий создавать его с заданными приоритетами доступа, делая наиболее защищенным.

И хотя VPN не являются в прямом смысле анонимайзерами, однако уже сегодня большинство сайтов, предоставляющих услуги CGI-ргоху, предлагают приобрести свой собственный VPN-канал. Эта технология набирает обороты, так что вполне вероятно, что вскоре количество привычных анонимайзеров будет сводиться к необходимому минимуму.

Вероятно, вы слышали о виртуальных частных сетях, однако, скорее всего, вы не использовали этот тип сервиса до сих пор.

Чем эффективный такой инструмент и на сколько эффективно он работает. При беглом ознакомление можно не увидеть истинную ценность таких услуг, но со временем вы обнаружите, что такие соединения так же важны, как интернет.

В этой статье объясняется, что такое VPN, как он работает и в чем его полезность для вас.

Прочтите это руководство и легко поймете, почему стоит воспользоваться услугой VPN, когда вы просматриваете интернет при подключении к общественным беспроводным сетям (в дальнейшим ОБС).

Короче говоря, VPN определяется как взаимосвязь между локальными сетями (LAN) с использованием защищенного туннеля, который обычно работают через интернет.

Это значит, что VPN расширяет частную сеть общего пользования, что позволяет пользователям отправлять и получать конфиденциальные данные.

Тогда компьютеры будут напрямую подключены к одной локальной сети, даже если, с физической точки зрения, она не находится в той же локальной сети.

Эту информацию проще понять, если я приведу пример ситуации из реальной жизни.

Допустим, вы и коллега / друг хотите обменяться большим количеством информации, но ваш партнер из города и не использует свой собственный компьютер.

Самое простое решение этой проблемы в настройке подключения VPN к вашей локальной сети, что позволит другу / коллеге подключится к виртуальной сети.

Это соединение будет делать вид, что вы оба находитесь в одной локальной сети и обмен информацией может быть более легко достигнут.

Другими словами, такое соединение поможет вам сделать вид, что вы находитесь в одной локальной сети, когда, на самом деле, вашей единственной связью является интернет.

Как работает VPN

Чтобы окунутся немного глубже в конкретные детали следует сказать об интернет — трафике.

При использовании доступа к различным интернет услугам, источником служит собственная локальная сеть (LAN).

Однако, эта ситуация изменится, если вы подключены к VPN и весь ваш трафик проходит через эту виртуальную сеть — внешний мир видит вас как часть локальной сети VPN. Таким образом источник больше не ваша локальная сеть, а подключение через VPN.

Это значит, что сайты и другие сервисы, с которыми вы общаетесь больше не смогут видеть реальный IP адрес вашего компьютера в качестве источника запросов для доступа, а увидят адрес виртуальной частной сети, которую вы используете.

Кроме того, ваш поставщик услуг интернета будет видеть только одно соединение: виртуальную частную сеть, установленный между вами и службой, которую вы используете, и все это будет полностью зашифровано.

Таким образом, провайдер не будет в состоянии видеть, что вы делаете внутри VPN соединения, следовательно, не сможет ничего контролировать.

Тем не менее, есть небольшая проблема: если вы используете VPN сервер, то весьма вероятно, что провайдер может видеть сетевой трафик.

Тем не менее, провайдер не сможет вычислить что происходит на сетевом трафики, потому что ваша деятельность происходит на сервере VPN, а не на вашем компьютере.

В некоторых отношениях, такое функционирование похоже на типичные прокси, при условии, что ваш провайдер видит только соединение прокси и следовательно, прокси сервер является источником вашего доступа.

Тем не менее, в отличие от VPN, соединение через прокси можно легко контролировать с помощью вашего провайдера, потому что он может видеть запросы доступа, сделанные к вам, при условии, что они не шифруются. Другими словами, простой поиск, покажет всю вашу онлайн активность.

Как подключиться к VPN

Есть несколько способов, подключиться к VPN, но основной идеей любого из них является тот факт, что вы должны идентифицировать себя.

Самый простой способ установить безопасное соединение через прямое подключение к серверу VPN, используя имя пользователя и пароль.

Если хотите подключиться в Windows 10, используя метод, описанный выше, рекомендую прочитать инструкцию: , а если на устройствах андроид,

Существует также возможность установки специального программного обеспечения, которое позволит вам создать защищенный туннель.

Эта программа обрабатывает шифрование и дешифрование передаваемых данных. Как и в предыдущем методе, для этого требуется имя пользователя и пароль, чтобы подтвердить свою личность в соответствии к требованию.

Тем не менее, у вас есть возможность использовать другие формы аутентификации, как токены или смарт карты.

Преимущество использования идентификации связано с тем, что такую связь очень трудно взломать даже хакерам. Кроме того, каждая идентификация является уникальной.

Преимущества использования виртуальной частной сети VPN

Ниже найдете краткий обобщенный список преимущества использования ВЧС:

• Весь трафик между вами и службой, которую вы используете VPN идет в зашифрованном виде, что делает невозможным видеть, что вы делаете в интернете.
• До тех пор, пока вы подключены к VPN, (у которого нет ограничений), вы будете иметь возможность получить доступ к любому сайту без цензуры.
• Вы можете получить доступ к услугам и сайтам, на которые стоят ограничения в вашем районе или географическом расположении, если вы используете сервер VPN, который находится в регионе, где они доступны.
• Подключение к серверам не будет показывать ваш реальный IP адрес, а только сервер VPN.
• Вы можете путешествовать по интернету, проверять электронную почту или отправить конфиденциальную информацию в общественных местах, без риска, что за вами шпионили.

VPN стали необходимостью в эпоху мониторинга онлайн, особенно если вы хотите защитить свою частную жизнь или хотите иметь безопасные соединения.

Это создает частный туннель закрытого соединение, которое не может быть расшифровано внешними агентами такими, как поставщик услуг интернета или другими лицами.

Это означает, что информация, которую вы отправите и получаете не может быть перехвачена.

Надеюсь, что эта статья помогла вам более ясно представить, что такое VPN и как оно работает. Если у вас есть какие-либо вопросы, обращайтесь в комментариях, через форму ниже. Успехов.

Интернет все чаще используется в качестве средства коммуникации между компьютерами, поскольку он предлагает эффективную и недорогую связь. Однако Интернет является сетью общего пользования и для того чтобы обеспечивать безопасную коммуникацию через него необходим некий механизм, удовлетворяющий как минимум следующим задачам:

конфиденциальность информации;

целостность данных;

доступность информации;

Этим требованиям удовлетворяет механизм, названный VPN (Virtual Private Network – виртуальная частная сеть) – обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет) с использованием средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).

Создание VPN не требует дополнительных инвестиций и позволяет отказаться от использования выделенных линий. В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: хост-хост, хост-сеть и сеть-сеть .

Для наглядности представим следующий пример: предприятие имеет несколько территориально отдаленных филиалов и "мобильных" сотрудников, работающих дома или в разъезде. Необходимо объединить всех сотрудников предприятия в единую сеть. Самый простой способ – это поставить модемы в каждом филиале и организовывать связь по мере необходимости. Такое решение, однако, не всегда удобно и выгодно – порой нужна постоянная связь и большая пропускная способность. Для этого придется либо прокладывать выделенную линию между филиалами, либо арендовать их. И то и другое довольно дорого. И здесь в качестве альтернативы при построении единой защищенной сети можно применять VPN-подключения всех филиалов фирмы через Интернет и настройку VPN-средств на хостах сети.

Рис. 6.4. VPN-соединение типа сеть-сеть

Рис. 6.5. VPN-соединение типа хост-сеть

В этом случае решаются многие проблемы – филиалы могут располагаться где угодно по всему миру.

Опасность здесь заключается в том, что, во-первых, открытая сеть доступна для атак со стороны злоумышленников всего мира. Во-вторых, по Интернету все данные передаются в открытом виде, и злоумышленники, взломав сеть, будут обладать всей информацией, передаваемой по сети. И, в-третьих, данные могут быть не только перехвачены, но и заменены в процессе передачи через сеть. Злоумышленник может, например, нарушить целостность баз данных, действуя от имени клиентов одного из доверенных филиалов.

Чтобы этого не произошло, в решениях VPN используются такие средства, как шифрование данных для обеспечения целостности и конфиденциальности, аутентификация и авторизация для проверки прав пользователя и разрешения доступа к виртуальной частной сети.

VPN-соединение всегда состоит из канала типа точка-точка, также известного под названием туннель. Туннель создаётся в незащищённой сети, в качестве которой чаще всего выступает Интернет.

Туннелирование (tunneling) или инкапсуляция (encapsulation) – это способ передачи полезной информации через промежуточную сеть. Такой информацией могут быть кадры (или пакеты) другого протокола. При инкапсуляции кадр не передается в том виде, в котором он был сгенерирован хостом-отправителем, а снабжается дополнительным заголовком, содержащим информацию о маршруте, позволяющую инкапсулированным пакетам проходить через промежуточную сеть (Интернет). На конце туннеля кадры деинкапсулируются и передаются получателю. Как правило, туннель создается двумя пограничными устройствами, размещенными в точках входа в публичную сеть. Одним из явных достоинств туннелирования является то, что данная технология позволяет зашифровать исходный пакет целиком, включая заголовок, в котором могут находиться данные, содержащие информацию, которую злоумышленники используют для взлома сети (например, IP-адреса, количество подсетей и т.д.).

Хотя VPN-туннель устанавливается между двумя точками, каждый узел может устанавливать дополнительные туннели с другими узлами. Для примера, когда трём удалённым станциям необходимо связаться с одним и тем же офисом, будет создано три отдельных VPN-туннеля к этому офису. Для всех туннелей узел на стороне офиса может быть одним и тем же. Это возможно благодаря тому, что узел может шифровать и расшифровывать данные от имени всей сети, как это показано на рисунке:

Рис. 6.6. Создание VPN-туннелей для нескольких удаленных точек

Пользователь устанавливает соединение с VPN-шлюзом, после чего пользователю открывается доступ к внутренней сети.

Внутри частной сети самого шифрования не происходит. Причина в том, что эта часть сети считается безопасной и находящейся под непосредственным контролем в противоположность Интернету. Это справедливо и при соединении офисов с помощью VPN-шлюзов. Таким образом, гарантируется шифрование только той информации, которая передаётся по небезопасному каналу между офисами.

Существует множество различных решений для построения виртуальных частных сетей. Наиболее известные и широко используемые протоколы – это:

PPTP (Point-to-Point Tunneling Protocol) – этот протокол стал достаточно популярен благодаря его включению в операционные системы фирмы Microsoft.

L2TP (Layer-2 Tunneling Protocol) – сочетает в себе протокол L2F (Layer 2 Forwarding) и протокол PPTP. Как правило, используется в паре с IPSec.

IPSec(Internet Protocol Security) – официальный Интернет-стандарт, разработан сообществом IETF (Internet Engineering Task Force).

Перечисленные протоколы поддерживаются устройствами D-Link.

Протокол PPTP, в первую очередь, предназначен для виртуальных частных сетей, основанных на коммутируемых соединениях. Протокол позволяет организовать удаленный доступ, благодаря чему пользователи могут устанавливать коммутируемые соединения с Интернет-провайдерами и создавать защищенный туннель к своим корпоративным сетям. В отличие от IPSec, протокол PPTP изначально не предназначался для организации туннелей между локальными сетями. PPTP расширяет возможности PPP – протокола, расположенного на канальном уровне, который первоначально был разработан для инкапсуляции данных и их доставки по соединениям типа точка-точка.

Протокол PPTP позволяет создавать защищенные каналы для обмена данными по различным протоколам – IP, IPX, NetBEUI и др. Данные этих протоколов упаковываются в кадры PPP, инкапсулируются с помощью протокола PPTP в пакеты протокола IP. Далее они переносятся с помощью IP в зашифрованном виде через любую сеть TCP/IP. Принимающий узел извлекает из пакетов IP кадры PPP, а затем обрабатывает их стандартным способом, т.е. извлекает из кадра PPP пакет IP, IPX или NetBEUI и отправляет его по локальной сети. Таким образом, протокол PPTP создает соединение точка-точка в сети и по созданному защищенному каналу передает данные. Основное преимущество таких инкапсулирующих протоколов, как PPTP – это их многопротокольность. Т.е. защита данных на канальном уровне является прозрачной для протоколов сетевого и прикладного уровней. Поэтому, внутри сети в качестве транспорта можно использовать как протокол IP (как в случае VPN, основанного на IPSec), так и любой другой протокол.

В настоящее время за счет легкости реализации протокол PPTP широко используется как для получения надежного защищенного доступа к корпоративной сети, так и для доступа к сетям Интернет-провайдеров, когда клиенту требуется установить PPTP-соединение с Интернет-провайдером для получения доступа в Интернет.

Метод шифрования, применяемый в PPTP, специфицируется на уровне PPP. Обычно в качестве клиента PPP выступает настольный компьютер с операционной системой Microsoft, а в качестве протокола шифрования используется протокол Microsoft Point-to-Point Encryption (MPPE). Данный протокол основывается на стандарте RSA RC4 и поддерживает 40- или 128-разрядное шифрование. Для многих приложений такого уровня шифрования использование данного алгоритма вполне достаточно, хотя он и считается менее надежным, нежели ряд других алгоритмов шифрования, предлагаемых IPSec, в частности, 168-разрядный Triple-Data Encryption Standard (3DES).

Как происходит установление соединения PPTP ?

PPTP инкапсулирует пакеты IP для передачи по IP-сети. Клиенты PPTP создают управляющее туннелем соединение, которое обеспечивает работоспособность канала. Этот процесс выполняется на транспортном уровне модели OSI. После создания туннеля компьютер-клиент и сервер начинают обмен служебными пакетами.

В дополнение к управляющему соединению PPTP создается соединение для пересылки данных по туннелю. Инкапсуляция данных перед отправкой в туннель включает два этапа. Сначала создается информационная часть PPP-кадра. Данные проходят сверху вниз, от прикладного уровня OSI до канального. Затем полученные данные отправляются вверх по модели OSI и инкапсулируются протоколами верхних уровней.

Данные с канального уровня достигают транспортного уровня. Однако информация не может быть отправлена по назначению, так как за это отвечает канальный уровень OSI. Поэтому PPTP шифрует поле полезной нагрузки пакета и берет на себя функции второго уровня, обычно принадлежащие PPP, т. е. добавляет к PPTP-пакету PPP-заголовок (header) и окончание (trailer). На этом создание кадра канального уровня заканчивается. Далее, PPTP инкапсулирует PPP-кадр в пакет Generic Routing Encapsulation (GRE), который принадлежит сетевому уровню. GRE инкапсулирует протоколы сетевого уровня, например IP, IPX, чтобы обеспечить возможность их передачи по IP-сетям. Однако применение только GRE-протокола не обеспечит установление сессии и безопасность данных. Для этого используется способность PPTP создавать соединение для управления туннелем. Применение GRE в качестве метода инкапсуляции ограничивает поле действия PPTP только сетями IP.

После того как кадр PPP был инкапсулирован в кадр с заголовком GRE, выполняется инкапсуляция в кадр с IP-заголовком. IP-заголовок содержит адреса отправителя и получателя пакета. В заключение PPTP добавляет PPP заголовок и окончание.

На рис. 6.7 показана структура данных для пересылки по туннелю PPTP:

Рис. 6.7. Структура данных для пересылки по туннелю PPTP

Для организации VPN на основе PPTP не требуется больших затрат и сложных настроек: достаточно установить в центральном офисе сервер PPTP (решения PPTP существуют как для Windows, так и для Linux платформ), а на клиентских компьютерах выполнить необходимые настройки. Если же нужно объединить несколько филиалов, то вместо настройки PPTP на всех клиентских станциях лучше воспользоваться Интернет-маршрутизатором или межсетевым экраном с поддержкой PPTP: настройки осуществляются только на пограничном маршрутизаторе (межсетевом экране), подключенном к Интернету, для пользователей все абсолютно прозрачно. Примером таких устройств могут служить многофункциональные Интернет-маршрутизаторы серии DIR/DSR и межсетевые экраны серии DFL.

GRE -туннели

Generic Routing Encapsulation (GRE) – протокол инкапсуляции сетевых пакетов, обеспечивающий туннелирование трафика через сети без шифрования. Примеры использования GRE:

передача трафика (в том числе широковещательного) через оборудование, не поддерживающее определенный протокол;

туннелирование IPv6-трафика через сеть IPv4;

передача данных через публичные сети для реализации защищенного VPN-соединения.

Рис. 6.8. Пример работы GRE-туннеля

Между двумя маршрутизаторами A и B ( рис. 6.8 ) находится несколько маршрутизаторов, GRE-туннель позволяет обеспечить соединение между локальными сетями 192.168.1.0/24 и 192.168.3.0/24 так, как если бы маршрутизаторы A и B были подключены напрямую.

L 2 TP

Протокол L2TP появился в результате объединения протоколов PPTP и L2F. Главное достоинство протокола L2TP в том, что он позволяет создавать туннель не только в сетях IP, но и в сетях ATM, X.25 и Frame relay. L2TP применяет в качестве транспорта протокол UDP и использует одинаковый формат сообщений как для управления туннелем, так и для пересылки данных.

Как и в случае с PPTP, L2TP начинает сборку пакета для передачи в туннель с того, что к полю информационных данных PPP добавляется сначала заголовок PPP, затем заголовок L2TP. Полученный таким образом пакет инкапсулируется UDP. В зависимости от выбранного типа политики безопасности IPSec, L2TP может шифровать UDP-сообщения и добавлять к ним заголовок и окончание Encapsulating Security Payload (ESP), а также окончание IPSec Authentication (см. в разделе "L2TP over IPSec"). Затем производится инкапсуляция в IP. Добавляется IP-заголовок, содержащий адреса отправителя и получателя. В завершение L2TP выполняет вторую PPP-инкапсуляцию для подготовки данных к передаче. На рис. 6.9 показана структура данных для пересылки по туннелю L2TP.

Рис. 6.9. Структура данных для пересылки по туннелю L2TP

Компьютер-получатель принимает данные, обрабатывает заголовок и окончание PPP, убирает заголовок IP. При помощи IPSec Authentication проводится аутентификация информационного поля IP, а ESP-заголовок IPSec помогает расшифровать пакет.

Далее компьютер обрабатывает заголовок UDP и использует заголовок L2TP для идентификации туннеля. Пакет PPP теперь содержит только полезные данные, которые обрабатываются или пересылаются указанному получателю.

IPsec (сокращение от IP Security) – набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет.

Безопасность IPSec достигается за счёт дополнительных протоколов, добавляющих к IP-пакету собственные заголовки – инкапсуляции. Т.к. IPSec – стандарт Интернет, то для него существуют документы RFC:

RFC 2401 (Security Architecture for the Internet Protocol) – архитектура защиты для протокола IP.

RFC 2402 (IP Authentication header) – аутентификационный заголовок IP.

RFC 2404 (The Use of HMAC-SHA-1-96 within ESP and AH) – использование алгоритма хэширования SHA-1 для создания аутентификационного заголовка.

RFC 2405 (The ESP DES-CBC Cipher Algorithm With Explicit IV) – использование алгоритма шифрования DES.

RFC 2406 (IP Encapsulating Security Payload (ESP)) – шифрование данных.

RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) – область применения протокола управления ключами.

RFC 2408 (Internet Security Association and Key Management Protocol (ISAKMP)) – управление ключами и аутентификаторами защищенных соединений.

RFC 2409 (The Internet Key Exchange (IKE)) – обмен ключами.

RFC 2410 (The NULL Encryption Algorithm and Its Use With IPsec) – нулевой алгоритм шифрования и его использование.

RFC 2411 (IP Security Document Roadmap) – дальнейшее развитие стандарта.

RFC 2412 (The OAKLEY Key Determination Protocol) – проверка аутентичности ключа.

IPsec является неотъемлемой частью Интернет-протокола IPv6 и необязательным расширением версии Интернет-протокола IPv4.

Механизм IPSec решает следующие задачи:

аутентификацию пользователей или компьютеров при инициализации защищенного канала;

шифрование и аутентификацию данных, передаваемых между конечными точками защищенного канала;

автоматическое снабжение конечных точек канала секретными ключами, необходимыми для работы протоколов аутентификации и шифрования данных.

Компоненты IPSec

Протокол AH (Authentication Header) – протокол идентификации заголовка. Обеспечивает целостность путём проверки того, что ни один бит в защищаемой части пакета не был изменён во время передачи. Но использование AH может вызвать проблемы, например, при прохождении пакета через NAT устройство. NAT меняет IP-адрес пакета, чтобы разрешить доступ в Интернет с закрытого локального адреса. Т.к. пакет в таком случае изменится, то контрольная сумма AH станет неверной (для устранения этой проблемы разработан протокол NAT-Traversal (NAT-T), обеспечивающий передачу ESP через UDP и использующий в своей работе порт UDP 4500). Также стоит отметить, что AH разрабатывался только для обеспечения целостности. Он не гарантирует конфиденциальности путём шифрования содержимого пакета.

Протокол ESP (Encapsulation Security Payload) обеспечивает не только целостность и аутентификацию передаваемых данных, но еще и шифрование данных, а также защиту от ложного воспроизведения пакетов.

Протокол ESP – инкапсулирующий протокол безопасности, который обеспечивает и целостность, и конфиденциальность. В режиме транспорта ESP-заголовок находится между исходным IP-заголовком и заголовком TCP или UDP. В режиме туннеля ESP-заголовок размещается между новым IP-заголовком и полностью зашифрованным исходным IP-пакетом.

Т.к. оба протокола – AH и ESP – добавляют собственные заголовки IP, каждый из них имеет свой номер (ID) протокола, по которому можно определить, что последует за IP-заголовком. Каждый протокол, согласно IANA (Internet Assigned Numbers Authority – организация, ответственная за адресное пространство сети Интернет), имеет свой собственный номер (ID). Например, для TCP этот номер равен 6, а для UDP – 17. Поэтому, очень важно при работе через межсетевой экран настроить фильтры таким образом, чтобы пропускать пакеты с ID AH и/или ESP протокола.

Для того чтобы указать, что в заголовке IP присутствует AH, устанавливается ID протокола 51, а для ESP – номер 50.

ВНИМАНИЕ : ID протокола не то же самое, что номер порта.

Протокол IKE (Internet Key Exchange) – стандартный протокол IPsec, используемый для обеспечения безопасности взаимодействия в виртуальных частных сетях. Предназначение IKE – защищенное согласование и доставка идентифицированного материала для ассоциации безопасности (SA).

SA – это термин IPSec для обозначения соединения. Установленный SA (защищенный канал, называемый "безопасной ассоциацией" или "ассоциацией безопасности" – Security Association, SA) включает в себя разделяемый секретный ключ и набор криптографических алгоритмов.

Протокол IKE выполняет три основные задачи:

обеспечивает средства аутентификации между двумя конечными точками VPN;

устанавливает новые связи IPSec (создаёт пару SA);

управляет существующими связями.

IKE использует UDP-порт с номером 500. При использовании функции NAT Traversal, как упоминалось ранее, протокол IKE использует UDP-порт с номером 4500.

Обмен данными в IKE происходит в 2 фазы. В первой фазе устанавливается ассоциация SA IKE. При этом выполняется аутентификация конечных точек канала и выбираются параметры защиты данных, такие как алгоритм шифрования, сессионный ключ и др.

Во второй фазе SA IKE используется для согласования протокола (обычно IPSec).

При настроенном VPN-туннеле для каждого используемого протокола создаётся одна пара SA. SA создаются парами, т.к. каждая SA – это однонаправленное соединение, а данные необходимо передавать в двух направлениях. Полученные пары SA хранятся на каждом узле.

Так как каждый узел способен устанавливать несколько туннелей с другими узлами, каждый SA имеет уникальный номер, позволяющий определить, к какому узлу он относится. Этот номер называется SPI (Security Parameter Index) или индекс параметра безопасности.

SA храняться в базе данных (БД) SAD (Security Association Database).

Каждый узел IPSec также имеет вторую БД – SPD (Security Policy Database) – БД политики безопасности. Она содержит настроенную политику узла. Большинство VPN-решений разрешают создание нескольких политик с комбинациями подходящих алгоритмов для каждого узла, с которым нужно установить соединение.

Гибкость IPSec состоит в том, что для каждой задачи предлагается несколько способов ее решения, и методы, выбранные для одной задачи, обычно не зависят от методов реализации других задач. Вместе с тем, рабочая группа IETF определила базовый набор поддерживаемых функций и алгоритмов, который должен быть однотипно реализован во всех продуктах, поддерживающих IPSec. Механизмы AH и ESP могут использоваться с различными схемами аутентификации и шифрования, некоторые из которых являются обязательными. Например, в IPSec определяется, что пакеты аутентифицируются либо с помощью односторонней функции MD5, либо с помощью односторонней функции SHA-1, а шифрование осуществляется с использованием алгоритма DES. Производители продуктов, в которых работает IPSec, могут добавлять другие алгоритмы аутентификации и шифрования. Например, некоторые продукты поддерживают такие алгоритмы шифрования, как 3DES, Blowfish, Cast, RC5 и др.

Для шифрования данных в IPSec может быть применен любой симметричный алгоритм шифрования, использующий секретные ключи.

Протоколы защиты передаваемого потока (AH и ESP) могут работать в двух режимах – в транспортном режиме и в режиме туннелирования . При работе в транспортном режиме IPsec работает только с информацией транспортного уровня, т.е. шифруется только поле данных пакета, содержащего протоколы TCP / UDP (заголовок IP-пакета не изменяется (не шифруется)). Транспортный режим, как правило, используется для установления соединения между хостами.

В режиме туннелирования шифруется весь IP-пакет, включая заголовок сетевого уровня. Для того чтобы его можно было передать по сети, он помещается в другой IP-пакет. По существу, это защищённый IP-туннель. Туннельный режим может использоваться для подключения удалённых компьютеров к виртуальной частной сети (схема подключения "хост-сеть") или для организации безопасной передачи данных через открытые каналы связи (например, Интернет) между шлюзами для объединения разных частей виртуальной частной сети (схема подключения "сеть-сеть").

Режимы IPsec не являются взаимоисключающими. На одном и том же узле некоторые SA могут использовать транспортный режим, а другие – туннельный.

На фазе аутентификации вычисляется контрольная сумма ICV (Integrity Check Value) пакета. При этом предполагается, что оба узла знают секретный ключ, который позволяет получателю вычислить ICV и сравнить с результатом, присланным отправителем. Если сравнение ICV прошло успешно, считается, что отправитель пакета аутентифицирован.

В режиме транспорта AH

весь IP-пакет, за исключением некоторых полей в заголовке IP, которые могут быть изменены при передаче. Эти поля, значения которых для расчета ICV равняются 0, могут быть частью службы (Type of Service, TOS), флагами, смещением фрагмента, временем жизни (TTL), а также заголовком контрольной суммы;

все поля в AH;

полезные данные пакетов IP.

AH в режиме транспорта защищает IP-заголовок (за исключением полей, для которых разрешены изменения) и полезные данные в исходном IP-пакете (рисунок 3.39).

В туннельном режиме исходный пакет помещается в новый IP-пакет, и передача данных выполняется на основании заголовка нового IP-пакета.

Для туннельного режима AH при выполнении расчета в контрольную сумму ICV включаются следующие компоненты:

все поля внешнего заголовка IP, за исключением некоторых полей в заголовке IP, которые могут быть изменены при передаче. Эти поля, значения которых для расчета ICV равняются 0, могут быть частью службы (Type of Service, TOS), флагами, смещением фрагмента, временем жизни (TTL), а также заголовком контрольной суммы;

все поля AH;

исходный IP-пакет.

Как видно на следующей иллюстрации, режим туннелирования AH защищает весь исходный IP-пакет за счет дополнительного внешнего заголовка, который в режиме транспорта AH не используется:

Рис. 6.10. Туннельный и транспортный режимы работы протокола АН

В режиме транспорта ESP аутентифицирует не весь пакет, а обеспечивает защиту только полезных данных IP. Заголовок ESP в режиме транспорта ESP добавляется в IP-пакет сразу после заголовка IP, а окончание ESP (ESP Trailer), соответственно, добавляется после данных.

Режим транспорта ESP шифрует следующие части пакета:

полезные данные IP;

Алгоритм шифрования, который использует режим шифрования цепочки блоков (Cipher Block Chaining, CBC) имеет незашифрованное поле между заголовком ESP и полезной нагрузкой. Это поле называется вектором инициализации IV (Initialization Vector) для расчета CBC, которое выполняется на получателе. Так как это поле используется для начала процесса расшифровки, оно не может быть зашифрованным. Несмотря на то, что у злоумышленника есть возможность просмотра IV, он никак не сможет расшифровать зашифрованную часть пакета без ключа шифрования. Для предотвращения злоумышленниками изменения вектора инициализации, он охраняется контрольной суммой ICV. В этом случае ICV выполняет следующие расчеты:

все поля в заголовке ESP;

полезные данные, включая открытый текст IV;

все поля в ESP Trailer, за исключением поля данных проверки подлинности.

Туннельный режим ESP инкапсулирует весь исходный IP-пакет в заголовок нового IP, заголовок ESP и ESP Trailer. Для того чтобы указать, что в заголовке IP присутствует ESP, устанавливается идентификатор протокола IP 50, причем исходный заголовок IP и полезные данные остаются без изменений. Как и в случае с туннельным режимом AH, внешний IP-заголовок базируется на конфигурации туннеля IPSec. В случае использования туннельного режима ESP область аутентификации IP-пакета показывает, где была поставлена подпись, удостоверяющая его целостность и подлинность, а зашифрованная часть показывает, что информация является защищенной и конфиденциальной. Исходный заголовок помещается после заголовка ESP. После того, как зашифрованная часть инкапсулируется в новый туннельный заголовок, который не зашифровывается, осуществляется передача IP-пакета. При отправке через общедоступную сеть такой пакет маршрутизируется на IP-адрес шлюза принимающей сети, а уже шлюз расшифровывает пакет и отбрасывает заголовок ESP с использованием исходного заголовка IP для последующей маршрутизации пакета на компьютер, находящийся во внутренней сети. Режим туннелирования ESP шифрует следующие части пакета:

исходный IP-пакет;

• Для туннельного режима ESP расчет ICV производится следующим образом:

  все поля в заголовке ESP;

  исходный IP-пакет, включая открытый текст IV;

  все поля заголовка ESP, за исключением поля данных проверки подлинности.

Рис. 6.11. Туннельный и транспортный режим протокола ESP

Рис. 6.12. Сравнение протоколов ESP и AH

Резюме по применению режимов IPSec :

Протокол – ESP (AH).

Режим – туннельный (транспортный).

Способ обмена ключами – IKE (ручной).

Режим IKE – main (aggressive).

Ключ DH – group 5 (group 2, group 1) – номер группы для выбора динамически создаваемых ключей сеанса, длина группы.

Аутентификация – SHA1 (SHA, MD5).

Шифрование – DES (3DES, Blowfish, AES).

При создании политики, как правило, возможно создание упорядоченного списка алгоритмов и Diffie-Hellman групп. Diffie-Hellman (DH) – протокол шифрования, используемый для установления общих секретных ключей для IKE, IPSec и PFS (Perfect Forward Secrecy – совершенная прямая секретность). В таком случае будет использована первая позиция, совпавшая на обоих узлах. Очень важно, чтобы всё в политике безопасности позволяло добиться этого совпадения. Если за исключением одной части политики всё остальное совпадает, узлы всё равно не смогут установить VPN-соединение. При настройке VPN-туннеля между различными системами нужно выяснить, какие алгоритмы поддерживаются каждой стороной, чтобы была возможность выбора наиболее безопасной политики из всех возможных.

Основные настройки, которые включает в себя политика безопасности:

Симметричные алгоритмы для шифрования/дешифрования данных.

Криптографические контрольные суммы для проверки целостности данных.

Способ идентификации узла. Самые распространенные способы – это предустановленные ключи (pre-shared secrets) или СА-сертификаты.

Использовать ли режим туннеля или режим транспорта.

Какую использовать группу Diffie-Hellman (DH group 1 (768-bit); DH group 2 (1024-bit); DH group 5 (1536-bit)).

Использовать ли AH, ESP, или оба вместе.

Использовать ли PFS.

Ограничением IPSec является то, что он поддерживает только передачу данных на уровне протокола IP.

Существуют две основные схемы применения IPSec, отличающиеся ролью узлов, образующих защищенный канал.

В первой схеме защищенный канал образуется между конечными хостами сети. В этой схеме протокол IPSec защищает тот узел, на котором выполняется:

Рис. 6.13. Создание защищенного канала между двумя конечными точками

Во второй схеме защищенный канал устанавливается между двумя шлюзами безопасности. Эти шлюзы принимают данные от конечных хостов, подключенных к сетям, расположенным за шлюзами. Конечные хосты в этом случае не поддерживают протокол IPSec, трафик, направляемый в публичную сеть, проходит через шлюз безопасности, который выполняет защиту от своего имени.

Рис. 6.14. Создание защищенного канала между двумя шлюзами

Для хостов, поддерживающих IPSec, возможно использование как транспортного, так и туннельного режимов. Для шлюзов разрешается использование только туннельного режима.

Установка и поддержка VPN

Как упоминалось выше, установка и поддержка VPN-туннеля выполняется в два этапа. На первом этапе (фазе) два узла договариваются о методе идентификации, алгоритме шифрования, хэш-алгоритме и группе Diffie-Hellman. Они также идентифицируют друг друга. Всё это может пройти в результате обмена тремя нешифрованными сообщениями (т.н. агрессивный режим, Aggressive mode ) или шестью сообщениями, с обменом зашифрованной информацией об идентификации (стандартный режим, Main mode ).

В режиме Main Mode обеспечивается возможность согласований всех параметров конфигурации устройств отправителя и получателя, в то время как в режиме Aggressive Mode такой возможности нет, и некоторые параметры (группа Diffie-Hellman, алгоритмы шифрования и аутентификации, PFS) должны быть заранее одинаково настроены на каждом устройстве. Однако, в данном режиме меньше и число обменов, и число пересылаемых при этом пакетов, в результате чего требуется меньше времени для установки сеанса IPSec.

Рис. 6.15. Обмен сообщениями в стандартном (а) и агрессивном (б) режимах

Предполагая, что операция завершилась успешно, создаётся SA первой фазы – Phase 1 SA (также называемый IKE SA ) и процесс переходит ко второй фазе.

На втором этапе генерируются данные ключей, узлы договариваются об используемой политике. Этот режим, также называемый быстрым режимом (Quick mode), отличается от первой фазы тем, что может установиться только после первого этапа, когда все пакеты второй фазы шифруются. Правильное завершение второй фазы приводит к появлению Phase 2 SA или IPSec SA и на этом установка туннеля считается завершённой.

Сначала на узел прибывает пакет с адресом назначения в другой сети, и узел инициирует первую фазу с тем узлом, который отвечает за другую сеть. Допустим, туннель между узлами был успешно установлен и ожидает пакеты. Однако узлам необходимо переидентифицировать друг друга и сравнить политику по прошествие определённого периода времени. Этот период называется время жизни Phase One или IKE SA lifetime.

Узлы также должны сменить ключ для шифрования данных через отрезок времени, который называется временем жизни Phase Two или IPSec SA lifetime.

Phase Two lifetime короче, чем у первой фазы, т.к. ключ необходимо менять чаще. Нужно задать одинаковые параметры времени жизни для обоих узлов. Если не выполнить этого, то возможен вариант, когда изначально туннель будет установлен успешно, но по истечении первого несогласованного промежутка времени жизни связь прервётся. Проблемы могут возникнуть и в том случае, когда время жизни первой фазы меньше аналогичного параметра второй фазы. Если настроенный ранее туннель прекращает работу, то первое, что нуждается в проверке – это время жизни на обоих узлах.

Еще следует отметить, что при смене политики на одном из узлов изменения вступят в силу только при следующем наступлении первой фазы. Чтобы изменения вступили в силу немедленно, надо убрать SA для этого туннеля из базы данных SAD. Это вызовет пересмотр соглашения между узлами с новыми настройками политики безопасности.

Иногда при настройке IPSec-туннеля между оборудованием разных производителей возникают затруднения, связанные с согласованием параметров при установлении первой фазы. Следует обратить внимание на такой параметр, как Local ID – это уникальный идентификатор конечной точки туннеля (отправителя и получателя). Особенно это важно при создании нескольких туннелей и использовании протокола NAT Traversal.

Dead Peer Detection

В процессе работы VPN, при отсутствии трафика между конечными точками туннеля, или при изменении исходных данных удалённого узла (например, смена динамически назначенного IP-адреса), может возникнуть ситуация, когда туннель по сути таковым уже не является, становясь как бы туннелем-призраком. Для того чтобы поддерживать постоянную готовность к обмену данными в созданном IPSec-туннеле, механизм IKE (описанный в RFC 3706) позволяет контролировать наличие трафика от удалённого узла туннеля, и в случае его отсутствия на протяжении установленного времени, посылается hello- сообщение (в межсетевых экранах D-Link посылается сообщение "DPD-R-U-THERE"). При отсутствии ответа на это сообщение в течение определённого времени, в межсетевых экранах D-Link заданного настройками "DPD Expire Time", туннель демонтируется. Межсетевые экраны D-Link после этого, используя настройки "DPD Keep Time" ( рис. 6.18 ), автоматически пытаются восстановить туннель.

Протокол NAT Traversal

IPsec-трафик может маршрутизироваться по тем же правилам, что и остальные IP-протоколы, но так как маршрутизатор не всегда может извлечь информацию, характерную для протоколов транспортного уровня, то прохождение IPsec через NAT-шлюзы невозможно. Как упоминалось ранее, для решения этой проблемы IETF определила способ инкапсуляции ESP в UDP, получивший название NAT-T (NAT Traversal).

Протокол NAT Traversal инкапсулирует трафик IPSec и одновременно создает пакеты UDP, которые NAT корректно пересылает. Для этого NAT-T помещает дополнительный заголовок UDP перед пакетом IPSec, чтобы он во всей сети обрабатывался как обычный пакет UDP и хост получателя не проводил никаких проверок целостности. После поступления пакета по месту назначения заголовок UDP удаляется, и пакет данных продолжает свой дальнейший путь как инкапсулированный пакет IPSec. Таким образом, с помощью механизма NAT-T возможно установление связи между клиентами IPSec в защищённых сетях и общедоступными хостами IPSec через межсетевые экраны.

При настройке межсетевых экранов D-Link в устройстве-получателе нужно отметить два пункта:

в полях Remote Network и Remote Endpoint указать сеть и IP-адрес удаленного устройства-отправителя. Необходимо разрешить преобразование IP-адреса инициатора (отправителя) с помощью технологии NAT (рисунок 3.48).

при использовании общих ключей с несколькими туннелями, подключенными к одному удаленному межсетевому экрану, которые были преобразованы с помощью NAT в один и тот же адрес, важно убедиться в том, что Local ID является уникальным для каждого туннеля.

Local ID может быть одним из:

Auto – в качестве локального идентификатора используется IP-адрес интерфейса исходящего трафика.

IP – IP-адрес WAN-порта удаленного межсетевого экрана

DNS – DNS-адрес

На сегодняшний день было бы полезно рассмотреть несколько вопросов, связанных с VPN – что это, каковы его особенности и как он настраивается.

Дело в том, что многие сегодня не знают ничего об этой технологии, хотя сейчас такое знание может оказаться весьма полезным.

Даже если смотреть с меркантильной точки зрения, то настройка VPN стоит очень хороших денег.

Поэтому было бы хорошо простым языком объяснить, что вообще такое VPN и как можно настроить эту технологию на Windows 7 и Windows 10, самых популярных на данный момент операционных системах.

Основные сведения

Вообще, VPN расшифровывается как Virtual Private Network, то есть виртуальная частная сеть.

Если сказать просто, это технология, которая позволяет , но не с применением физических устройств, таких как коммутаторы и маршрутизаторы , а ресурсами интернета.

Фактически, VPN создает одну локальную сеть поверх другой.

На сайте Microsoft можно найти ту картинку, которая показана на рисунке №1. Там наглядно можно видеть, что имеется в виду во фразе «создает одну локальную сеть поверх другой».

На практике все происходит именно так.

На этом рисунке можно видеть устройства в виде компьютеров. Облако подразумевает общую или публичную сеть, чаще всего это и есть самый обычный интернет.

Два сервера соединены между собой именно при помощи VPN.

При этом эти устройства соединяются между собой еще и физически. Но на практике это вовсе не обязательно.

Именно для этого и нужна рассматриваемая технология – чтобы не использовать кабели и устройства, а обойтись обычными технологиями, которые передают информацию.

Да, в них тоже нужны кабели, но для устройства конкретной VPN они не требуются.

Справка: Локальная сеть – это объединение нескольких устройств в одну сеть, что позволяет им использовать ресурсы друг друга.

Как говорилось выше, в физических локальных сетях устройства между собой соединяются при помощи оптических кабелей , витых пар , радиоканалов, а также Wi-Fi, Bluetooth, GPRS, а также всевозможные устройства, такие как маршрутизаторы.

Так вот, в виртуальных сетях вместо всего этого используется самое обычное интернет-соединение.

Разумеется, доступ различным устройствам не предоставляется просто так, там есть свои уровни идентификации, которые направлены на то, чтобы «не пускать чужих» в ту или иную VPN сеть.

А теперь поговорим более подробно о том, как происходит соединение в Virtual Private Network.

Немного о структуре

В структуре VPN есть две части: внутренняя и внешняя.

Каждый отдельный компьютер подключается одновременно к обеим этим частям. Делается это при помощи сервера.



Сервер в данном случае выполняет роль такого себе фейсконтроля на входе в клуб. Он определяет, кто заходит в виртуальную сеть, а кто идет искать счастья где-то еще.

Компьютер, который подключается к VPN, должен иметь с собой данные для аутентификации , то есть какой-то одноразовый пароль, смарт-карту или другое средство, которое позволит пройти данную процедуру.

Для нас это не особо важно, важно, что вообще есть процесс аутентификации.

На сегодняшний день специалисты различных крупных компаний разрабатывают новые способы аутентификации.

Если вернуться к тому же примеру с фейсконтролем на входе в клуб, то человек, который приходит в клуб, должен знать:

1. Во-первых, свое имя, что позволит ему пройти процесс идентификации;
2. Во-вторых, ему нужно знать, к примеру, одноразовый пароль, который нужен для прохождения авторизации.

Точно таким же образом, компьютер, который приходит и желает присоединиться к одной из сетей VPN, «несет» с собой свое имя со средством авторизации.

Сервер же заносит в свою базу данных вышеуказанную информацию, в частности, имя подключаемого компьютера.

В дальнейшем «фейсконтроль» уже не будет требовать от пришедшего «клиента» его данные.

В принципе, теперь должно быть понятно, каким образом работают сети VPN и что они собой представляют.

На самом же деле в практическом применении все намного сложнее и, если вы захотите стать специалистов по сетям, нужно будет знать еще довольно много информации.

В частности, эта информация касается разновидностей VPN.

Классификация VPN

Полная классификация данного вида технологий показана на рисунке №2.



А теперь разберем каждый вид классификаций более подробно.

Критериями классификации являются:

• Степень защиты. По этому критерию существуют такие сети:
1. Полностью защищенные – основываются на изначально защищенных сетях;
2. «Доверительно» защищенные – меньшая степень защищенности, используются когда «родительская» сеть обладает достаточной степенью надежности.
• Способ реализации. По данному критерию выделяют следующие виды сетей:
1. Аппаратными средствами , то есть с помощью реальных устройств (данный вид все-таки немного отходит от канонов классической виртуальной сети, которая не использует всяческие устройства);
2. Программными средствами;
3. Комбинированный способ .
• Назначение. В рамках этого критерия есть следующие виды VPN:
1. Intranet – чаще всего применяется в компаниях, где объединяются несколько филиалов;
2. Extranet – применяется для организации сетей, где есть не только внутрикорпоративные участники, а и клиенты;
3. Remote Access – используется для организации сетей, в которых присутствуют удаленные филиалы (чаще всего в этих филиалах работает один человек на удаленной основе).
• По протоколу. Хотя возможна реализация VPN при помощи таких протоколов, как IPX и AppleTalk, на практике используется только TCP/IP. Причина очень простая – именно этот протокол повсеместно применяется в сетях интернет и смысла «изобретать велосипед» разработчики просто не видят.
• По уровню работы. Здесь все соответствует классической модели OSI, но VPN работает только на канальном (передача информации по каналам), сетевом (обеспечение соединения) и транспортном (обеспечение передачи данных) уровнях.

Разумеется, на практике одна сеть воплощает в себе сразу несколько классификационных признаков.

Теперь перейдем непосредственно к тому, как настроить VPN сеть при помощи самого обычного компьютера.

Настройка виртуальной сети

Для начала поймем, как это делается на Windows 7 .

На этой операционной системе настройка происходит при помощи следующих сравнительно простых шагов:

• Открываем «Центр управления сетями и общим доступом». Для этого следует нажать в панели быстрого доступа на значке соединения с сетью правой кнопкой мыши и в выпадающем меню выбрать соответствующий пункт.
• Стоит сказать, что пиктограмма соединения с сетью может иметь не такой вид, как показано на рисунке №3. Она также может иметь такой вид, который можно видеть на рисунке №4.
• В открывшемся окне необходимо нажать на пункт под названием «Насртойка нового подключения или сети» (выделен на рисунке №5).



• В открывшемся окне нужно выбрать пункт «Подключение к рабочему месту» и нажать кнопку «Далее» (выделены на рисунке №6).



• Если какие-либо VPN соединения уже есть на данном компьютере, появится окно, показанное на рисунке №7. В нем нужно выбрать пункт «Нет, создать новое подключение» и снова-таки нажать кнопку «Далее».



• В появившемся окне следует нажать на пункт «Использовать мое подключение к интернету (VPN)». Здесь нет кнопки «Далее». В этом нет ничего страшного.



• Теперь нужно будет ввести адрес и имя VPN сети. Как подсказывает само окно создания подключения в Windows 7, его можно узнать у сетевого администратора.

Если вы присоединяетесь к какой-то существующей сети, необходимо узнать у администратора эти данные. Обычно это не составляет никакого труда.

Вводятся они в те поля, которые выделены на рисунке №9.

• В том же окне нужно поставить галочку напротив надписи «Не подключаться сейчас…», после чего нажать кнопку «Далее».



• Теперь останется только ввести логин и пароль от соответствующей сети. Поля для этого выделена на рисунке №10.

Если происходит первое соединение с сетью, придется создать эти данные, после чего сервер проверит их и в случае соответствия «пустит» в сеть, и вы сможете сразу же ей пользоваться.

Если же соединение происходит уже не в первый раз, сервер не будет проверять их, а сразу «пустит» в сеть.

• После ввода соответствующих данных останется просто нажать кнопку «Подключить».



• Далее появится окно, в котором будет фигурировать предложение подключиться к подключенной сети прямо сейчас. Но лучше все-таки закрыть это окно путем нажатия на соответствующую кнопку, выделенную на рисунке №11.



Теперь настройка закончена и осталось только подключиться к созданной сети. Для этого необходимо снова зайти в «Центр управления сетями и общим доступом».

• В открывшемся окне следует выбрать пункт «Подключиться к сети», выделенный на рисунке №12.



• В нем останется выбрать созданное подключение и нажать выделенную на том же рисунке кнопку.



Итак, как настроить VPN подключение на Windows 7 нам уже известно.

Что касается Windows 10, там алгоритм действий практически тот же самый. Отличаться могут только некоторые элементы интерфейса и пути доступа к ним.

К примеру, «Центр управления сетями и общим доступом» выглядит практически так же, как и в Windows 7.

Более того, там есть очень похожий пункт под названием «Создание и настройка нового подключения или сети».

В дальнейшем действия по настройке практически те же самые, только интерфейс будет несколько отличаться.



Неудобства могут быть лишь у тех пользователей Windows 10, которые пользуются не так называемым классическим видом, а представлением «Панель управления – домашняя страница», нужно будет сначала перейти в раздел «Сеть и интернет», а затем выбрать пункт «Просмотр состояния сети и задач».

В любом случае, абсолютно ничего сложного в процедуре настройки нет и быть не может. Интересно, что VPN соединение можно использовать даже на устройствах Android .

Настройка на Android

Для выполнения данной операции следует скачать и установить бесплатный инструмент под названием SuperVPN Free VPN Client.

Там есть одна большая кнопка «Скачать» - перепутать ее с чем-то другим просто невозможно.

Этот бесплатный инструмент позволяет за считаные секунды находить доступные VPN сети и подключаться к ним.

Само окно программы выглядит предельно просто и показано на рисунке №15.



Соответственно, простым нажатием на большую кнопку «Connect» произойдет поиск доступных сетей и соединение с ними.

Что же касается настройки VPN подключения на Android, то делается это стандартными средствами, безо всяких дополнительных программ.

Инструкция по созданию VPN подключения на Android показана в видеоролике ниже.

Установить Впн Клиент для Андроид

VPN – что это такое? - Описание и настройка сервера