Какие vpn протоколы поддерживает windows

Типы VPN-подключений VPN connection types

Относится к: Applies to

• Windows 10 Windows10
• Windows 10 Mobile Windows10 Mobile

Виртуальные частные сети (VPN) — это соединения точка-точка в частной или общедоступной сети, например в Интернете. Virtual private networks (VPNs) are point-to-point connections across a private or public network, such as the Internet. VPN-клиент использует специальные протоколы на основе TCP/IP или UDP, которые называют протоколами тунеллирования, для виртуального вызова виртуального порта VPN-сервера. A VPN client uses special TCP/IP or UDP-based protocols, called tunneling protocols, to make a virtual call to a virtual port on a VPN server. В стандартом развертывании VPN клиент инициирует виртуальное соединение точка-точка с сервером удаленного доступа через Интернет. In a typical VPN deployment, a client initiates a virtual point-to-point connection to a remote access server over the Internet. Сервер удаленного доступа отвечает на вызов, проверяет подлинность вызывающей стороны и передает данные между VPN-клиентом и частной сетью организации. The remote access server answers the call, authenticates the caller, and transfers data between the VPN client and the organization’s private network.

Существует множество вариантов VPN-клиентов. There are many options for VPN clients. В Windows 10 встроенный подключаемый модуль и платформа подключаемых модулей VPN универсальной платформы Windows (UWP) основаны на VPN-платформе Windows. In Windows 10, the built-in plug-in and the Universal Windows Platform (UWP) VPN plug-in platform are built on top of the Windows VPN platform. В этом руководстве рассматриваются клиенты VPN-платформы Windows и возможности, которые можно настроить. This guide focuses on the Windows VPN platform clients and the features that can be configured.

Встроенный клиент VPN Built-in VPN client

Протоколы тунеллирования Tunneling protocols

Настройте свойства шифрования туннеля IPsec/IKE с помощью параметр Пакет средств криптографической защиты в разделе Поставщик службы конфигурации (CSP) VPNv2. Configure the IPsec/IKE tunnel cryptographic properties using the Cryptography Suite setting in the VPNv2 Configuration Service Provider (CSP).

L2TP с проверкой подлинности с общим ключом (PSK) можно настроить с помощью параметра L2tpPsk в разделе VPNv2 CSP. L2TP with pre-shared key (PSK) authentication can be configured using the L2tpPsk setting in the VPNv2 CSP.

SSTP поддерживается только в выпусках Windows для настольных компьютеров. SSTP is supported for Windows desktop editions only. SSTP невозможно настроить с помощью решения управления мобильными устройствами (MDM), но это один из протоколов, который система пытается использовать, если выбран параметр Автоматически. SSTP cannot be configured using mobile device management (MDM), but it is one of the protocols attempted in the Automatic option.

Параметр Автоматически означает, что устройство будет пытаться использовать каждый из встроенных протоколов тунеллирования до успешного подключения. The Automatic option means that the device will try each of the built-in tunneling protocols until one succeeds. Перебор идет от наиболее безопасного до наименее безопасного. It will attempt from most secure to least secure.

Выберите значение Автоматически для параметра NativeProtocolType в разделе VPNv2 CSP. Configure Automatic for the NativeProtocolType setting in the VPNv2 CSP.

Подключаемый модуль VPN универсальной платформы Windows Universal Windows Platform VPN plug-in

Подключаемые модули VPN универсальной платформы Windows (UWP) были представлены в Windows 10, хотя первоначально отдельные версии были доступны для платформ Windows 8.1 Mobile и Windows 8.1. The Universal Windows Platform (UWP) VPN plug-ins were introduced in Windows 10, although there were originally separate versions available for the Windows 8.1 Mobile and Windows 8.1 PC platforms. При использовании платформы UWP сторонние поставщики VPN могут создавать подключаемые модули, размещаемые в контейнере приложений, с помощью API-интерфейсов WinRT, что упрощает процесс и устраняет проблемы, связанные с написанием драйверов системного уровня. Using the UWP platform, third-party VPN providers can create app-containerized plug-ins using WinRT APIs, eliminating the complexity and problems often associated with writing to system-level drivers.

Существует ряд VPN-приложений универсальной платформы Windows, такие как Pulse Secure, Cisco AnyConnect, F5 Access, Sonicwall Mobile Connect и Check Point Capsule. There are a number of Universal Windows Platform VPN applications, such as Pulse Secure, Cisco AnyConnect, F5 Access, Sonicwall Mobile Connect, and Check Point Capsule. Если вы хотите использовать подключаемый модуль VPN платформы UWP, обратитесь к поставщику за сведения о настройке вашего решения VPN. If you want to use a UWP VPN plug-in, work with your vendor for any custom settings needed to configure your VPN solution.

Настройка типа подключения Configure connection type

Сведения о настройке XML см. в разделе Параметры профиля VPN и VPNv2 CSP. See VPN profile options and VPNv2 CSP for XML configuration.

На следующем рисунке показаны параметры подключения в политике конфигурации профиля VPN с использованием Microsoft Intune. The following image shows connection options in a VPN Profile configuration policy using Microsoft Intune.

В Intune вы можете добавить пользовательский XML-файл для профилей подключаемых модулей сторонних разработчиков. In Intune, you can also include custom XML for third-party plug-in profiles.

Источник

Протоколы VPN — PPTP, L2TP, IKEv2, OpenVPN

В настоящее время существует довольно большое количество протоколов, применяемых для создания VPN-соединений. Какое решение выбрать и на что следует обратить внимание для правильной настройки подключения? Попробуем кратко ответить на эти вопросы.

Протокол туннелирования точка-точка (Point-to-Point Tunneling Protocol) – это протокол, изобретенный компанией Cisco Systems для организации VPN через сети коммутируемого доступа. PPTP является стандартным протоколом для построения VPN уже на протяжении многих лет — впервые его поддержка была реализована в операционных системах Windows NT 4.0 и Windows 95 OSR2.

В настоящее время PPTP доступен как стандартный протокол VPN почти во всех операционных системах и коммуникационных устройствах, что позволяет использовать его без необходимости установки дополнительного программного обеспечения. Его преимущество также в том, что он использует небольшое количество вычислительных ресурсов, следовательно, обладает высокой скоростью работы.

PPTP работает, устанавливая обычную PPP сессию с противоположной стороной с помощью протокола Generic Routing Encapsulation. Для инициации и управления GRE-соединением используется второе соединение на TCP-порте 1723. Из-за необходимости установления двух сетевых сессий, могут возникнуть сложности при настройке PPTP-соединения за сетевым экраном. Кроме того, некоторые Интернет-провайдеры блокируют GRE-протокол, что делает невозможным использование PPTP.

PPTP опирается на различные методы аутентификации для обеспечения безопасности соединения, наиболее часто среди которых используется MS-CHAP v.2. Данные, передаваемые через PPTP, шифруются с помощью протокола MPPE, включающего в себя алгоритм шифрования RSA RC4 с ключом длиной максимум 128 бит.

За время своего существования, в реализации протокола PPTP были обнаружены различные уязвимости, наиболее серьезной из которых явилась уязвимость протокола аутентификации MS-CHAP v.2, позволяющая в течение суток восстановить ключ шифрования. Из-за наличия проблем с безопасностью, протокол PPTP может применяться только в решениях построения VPN, где отсутствуют требования к обеспечению конфиденциальности передаваемых данных.

Плюсы:

• клиент PPTP встроен во все операционные системы (за исключением последних версий iOS)
• очень прост в настройке
• работает быстро

Минусы:

Вывод

Протокол PPTP небезопасен, поэтому следует избегать его использования для передачи важных данных. Однако, если VPN применяется только для смены текущего географического местоположения и сокрытия реального IP-адреса, PPTP может быть хорошим решением благодаря своей кроссплатформенности и высокой скорости работы.

Протокол туннелирования 2 уровня (Layer 2 Tunnel Protocol) – сетевой протокол, в качестве основы использующий протокол PPP канального уровня. Cоздан в 1999 году компаниями Cisco и Microsoft как дальнейшее развитие протокола PPTP, в настоящее время является промышленным стандартом (RFC2661).

Так как сам по себе L2TP не обеспечивает шифрование и конфиденциальность трафика, при построении VPN на основе L2TP для обеспечения безопасности передаваемых данных, как правило, используется протокол шифрования IPSec (IP Security). Комбинацию L2TP и IPSec называют L2TP/IPSec (RFC3193).

Для L2TP/IPSec в качестве транспорта применяется протокол UDP, где порт 1701 используется в качестве порта отправителя и получателя для инициализации туннеля, порт UDP-500 применяется для обмена ключами шифрования, порт UDP-4500 для NAT-операций, протокол 50 (ESP) для передачи зашифрованных данных через IPSec.

L2TP/IPsec встроен во все современные операционные системы и коммуникационные устройства, и может быть настроен так же легко, как и PPTP. Некоторые сложности с настройкой могут возникнуть для операционных систем семейства Linux, где может потребоваться установка дополнительных пакетов из состава ОС.

С точки зрения безопасности, VPN-подключения по протоколу L2TP/IPSec являются достаточно надёжными, так как обеспечивают конфиденциальность, целостность и проверку подлинности данных.

По сравнению с другими VPN-протоколами, L2TP/IPSec более «капризный» в плане обеспечения стабильной и надежной работы. Так, если VPN-клиент находится за сетевым устройством, выполняющим преобразование сетевых адресов (NAT), либо не пропускающим пакеты на UDP-порт 500, сеанс L2TP/IPSec установить не удастся. Кроме того, так как L2TP/IPSec инкапсулирует передаваемые данные дважды, это делает его менее эффективным и более медленным, чем другие VPN-протоколы.

Плюсы:

• высокая безопасность
• легкость настройки
• доступен в современных операционных системах

Минусы:

• работает медленнее, чем другие VPN-протоколы
• может потребоваться дополнительная настройка роутера

Вывод

Протокол L2TP/IPSec позволяет обеспечить высокую безопасность передаваемых данных, прост в настройке и поддерживается всеми современными операционными системами. Однако, по сравнению с другими VPN-протоколами, является менее производительным и стабильным.

IKEv2

Протокол обмена ключами (Internet Key Exchange) версии 2 — входящий в набор IPSec протокол туннелирования, разработанный совместно компаниями Microsoft и Cisco. Входит в состав Windows 7 и более поздних версий, поддерживается мобильными устройствами Blackberry и Apple. Имеются решения с открытым исходным кодом для Linux.

Передача данных производится через UDP порты 500 и/или 4500, с шифрованием данных криптоалгоритмами 3DES и AES. Использование UDP обеспечивает хорошую скорость работы и не создает проблем для работы за NAT и межсетевыми экранами.

Благодаря ряду своих возможностей, IKEv2 особенно актуален для мобильных пользователей — IKEv2 позволяет автоматически переустанавливать VPN-туннель в случае временного обрыва Интернет-соединения, например во время поездки в метро. Также протокол хорошо восприимчив к частой смене сетей — например переключению между точками Wi-Fi, или между Wi-Fi и мобильной сетью. Это один из немногих протоколов, поддерживаемых устройствами Blackberry.

Плюсы:

• высокая безопасность и скорость
• повышенная стабильность работы
• хорошо подходит для пользователей мобильных устройств
• легок в настройке на стороне пользователя

Минусы:

Вывод

Благодаря своей безопасности, стабильности и скорости работы, IKEv2 в настоящее время является лучшим решением VPN для мобильных пользователей.

OpenVPN

OpenVPN является полнофункциональным решением с открытым иcходным кодом для организации инфраструктуры VPN на основе библиотеки OpenSSL и протоколов SSL/TLS. Благодаря своей бесплатности и открытости, OpenVPN в настоящее время фактически является стандартом в VPN-технологиях, очень гибким в настройках и с богатыми функциональными возможностями.

В стандартной конфигурации OpenVPN использует для передачи данных UDP протокол и порт 1194. Однако, VPN-соединение может быть легко настроено для работы по протоколу TCP на любом порту, например на 443 TCP-порту, что позволяет маскировать трафик OpenVPN под обычный HTTPS, тем самым обходя блокировки на стороне межсетевых экранов.

Использование в качестве основы библиотеки OpenSSL позволяет обеспечить поддержку множества криптографических алгоритмов (например RSA, AES, Blowfish, 3DES и других) для надежной защиты передаваемых данных. Производительность OpenVPN зависит от выбранного алгоритма шифрования, но, как правило, работает быстрее, чем IPSec.

Возможность использования протокола TCP позволяет добиться стабильной и надежной работы в беспроводных, сотовых и других сетях с высокой общей нагрузкой и повышенным уровнем потери пакетов. Для увеличения скорости передачи, можно использовать сжатие данных на основе библиотеки LZO.

Для работы с технологией OpenVPN на стороне клиента требуется установка дополнительного программного обеспечения — в настоящий момент для всех современных операционных систем, в том числе и для мобильных платформ, существует большое количество приложений, как бесплатных, так и коммерческих.

Плюсы:

• гибкость настройки
• высокая безопасность
• повышенная стабильность и надежность работы

Минусы:

Вывод

На сегодняшний день технология OpenVPN является наилучшим решением для организации VPN. Использование этого протокола позволит обеспечить надежное, быстрое и безопасное VPN-соединение. Настройка подключения не вызывает большой сложности, и фактически сводится к установке бесплатного приложения, доступного для любых платформ и операционных систем.

Подводя итог нашему обзору, коротко обобщим сделанные выводы:

• PPTP — небезопасный протокол, ваши данные можно перехватить и расшифровать. Можно применять только для смены текущего географического местоположения и сокрытия реального IP-адреса.
• L2TP/IPSec — имеет приемлемый уровень защиты, удобен в настройке, не требует установки дополнительного программного обеспечения (за исключением Linux), является хорошей альтернативой PPTP.
• IKEv2 — современный протокол VPN, обладает хорошей безопасностью и скоростью работы. Прекрасно подходит для пользователей мобильных устройств, особенно Blackberry.
• OpenVPN — имеет открытый исходный код, работает быстро и безопасно. Обладает гибкими настройками, обеспечивает хорошую стабильность работы. Даже несмотря на необходимость установки дополнительного программного обеспечения, на сегодняшний день является лучшим решением для VPN.

Иными словами — при возможности используйте OpenVPN, для мобильных устройств хорошо подойдет IKEv2. Для быстрых решений, когда нужно только скрыть свой IP-адрес — можно ограничиться L2TP/IPSec или PPTP.

Источник

VPN все чаще оказывается на слуху в последние пару лет. Этому способствуют и суровые законы некоторых стран, и пандемия, вынудившая людей работать из дома. Но не все хорошо знакомы с технологией в целом, не говоря уже о таких аспектах, как ее отдельные протоколы. 

В этом материале как раз об этом и поговорим. Выясним, какие есть протоколы, чем они отличаются, сравним их друг с другом и поможем выбрать наиболее подходящий вариант. 

Что такое VPN

Virtual Private Network (Частная Виртуальная Сеть) — это расширение для публичной сети, позволяющее имитировать еще одну сеть поверх уже существующей, к которой может подключаться ограниченное количество устройств.

Обычно «виртуальное» подключение формируется между локальным компьютером и сервером. После этого подключенные системы получают преимущества приватной сети. Уровень доверия к ней многократно возрастает благодаря используемым механизмам защиты трафика. И это несмотря на низкий уровень доверия к сети, на базе которой строится VPN. После подключения к VPN можно управлять защищенными файлами, доступными только для членов сети, скрывать исходящий трафик и шифровать его. 

Основные сценарии использования VPN

• Изначально VPN разрабатывалась для офисов и крупных корпораций, чтобы сотрудники могли подключаться к корпоративной сети и работать удаленно, используя мобильные устройства и домашние компьютеры. Их защищают с помощью технологий туннелинга.
• Потом эти возможности начали использоваться для обхода разного рода блокировок. Например, региональные ограничения от сервисов в духе Pandora, Hulu, Amazon и Tidal. Или блокировки со стороны государства, запрещающие посещать те или иные ресурсы в связи с действующим законодательством.
• Также с помощью VPN строятся защищенные каналы связи между удаленными офисами. Например, если штаб-квартира компании находится в Лондоне, а один из филиалов в Уэльсе, то для их безопасного (защищенного от вмешательства третьих лиц) обмена данными потребуется VPN.

Что такое VPN-протокол?

VPN-протокол — программный фундамент, на базе которого строится любой VPN-сервис. В нем описывается формат организации подключения, обмена данными внутри частной виртуальной сети и другие аспекты работы ПО. 

От выбора протокола зависит, какие задачи будут с помощью него решены, насколько эффективно они будут решаться, насколько это будет безопасно, быстро и т.п. Существует несколько технологий организации VPN, поэтому возникают некоторые разногласия при выборе соответствующих сервисов и при настройке виртуальных частных сетей. 

На какие критерии оценки VPN-протоколов стоит обратить внимание

У каждого протокола свой набор характеристик, исходя из которых нужно выбирать для себя подходящий. Среди них:

• Поддерживаемые платформы — протоколы могут быть достаточно специфичны и функционировать исключительно на одной-двух операционных системах. Другие же поддерживают сразу все доступные ОС.
• Поддерживаемые сети — не все протоколы работают в идентичных сетях. Некоторые VPN-сервисы предлагают свои услуги только в конкретных странах ввиду технологических ограничений, введенных, в том числе, государственными органами.
• Скорость работы — тоже зависит от архитектуры протокола. Есть те, что быстрее передают данные на мобильных устройствах. Есть те, что показывают пиковую производительность только в масштабах больших корпоративных сетей. 
• Безопасность — в протоколах по-разному реализовано шифрование и другие механизмы обеспечения безопасности данных. Поэтому, в зависимости от поставленных задач, надо выбирать технологию, наименее подверженную распространенным для нее атакам.

Теперь от общего описания форматов и характеристик перейдем к конкретным технологическим решениям и к их особенностям.

Кратко о существующих протоколах

Для начала кратко пробежимся по протоколам, которые будем рассматривать в статье. 

• OpenVPN — сбалансированный вариант. Он быстрее остальных и гораздо меньше подвержен атакам со стороны злоумышленников. Топовые VPN-сервисы базируют свои продукты на основе этого протокола.
• L2TP/IPsec во многом похож на OpenVPN. В меру быстрый, в меру безопасный. Но это «в меру» как раз все портит. Это не значит, что его стоит бояться или он как-то серьезно подвергает опасности вашу конфиденциальность в сети. Для некритичных задач его хватит с головой. Но надо иметь в виду, что этот протокол уступает по безопасности OpenVPN. В текущей ситуации нужен как альтернатива на случай, когда более подходящий протокол недоступен.
• IKEv2/IPsec — альтернатива вышеперечисленным протоколам, адаптированная под работу на мобильных устройствах. Ее преимущество заключается в возможности быстро переподключиться к сети после потери сигнала. Такое может происходить на нулевых этажах торговых центров, в туннелях, метро и других местах с недостаточной «проницаемостью». IKEv2 скоростной, но работает не на всех платформах и сложен в настройке.
• SSTP разработан компанией Microsoft и работает только с ее программным обеспечением. Настроить его в сторонних операционных системах чересчур сложно, да и не все хотят иметь дело с технологическими корпорациями в таком вопросе, как VPN. Если же причастность Microsoft не смущает, и на компьютере установлена Windows, то это будет сносным выбором.
• PPTP — еще один продукт. Устаревший протокол, который больше не используется глобально. Пригодится только за отсутствием альтернатив.
• WireGuard — перспективная новинка, во много схожая с OpenVPN, но обгоняющая его по всем параметрам (от скорости передачи файлов до изощренности методов шифрования).
• SoftEther — еще один современный стандарт VPN. Быстрый, отказоустойчивый, обеспечивающий хорошее шифрование.

Далее разберем каждый протокол подробнее. Ознакомимся с принципами работы, степенью защищенности, производительностью и другими аспектами VPN-технологий.

OpenVPN

Золотой стандарт среди действующих VPN-протоколов. Хорош сразу по всем фронтам:

• Он универсален. Его можно использовать в разных целях, независимо от того, нужен ли вам виртуальный «офис», защищенный от сторонних глаз, или безопасный туннель для подключения к заблокированным ресурсам.
• OpenVPN создан независимой командой разработчиков из OpenVPN Technologies. Главное преимущество протокола — открытый исходный код. Ему он обязан дикой популярностью. Opensource-сущность помогла этой технологии пройти десятки независимых аудитов от фирм, занимающихся безопасностью. Этому помогли кастомные методы шифрования, поддержка SSL и алгоритмов AES-256-GCM.
• Также он обеспечивает скорость передачи данных выше, чем у конкурентов. Многие сервисы, базирующие свои VPN-серверы на базе OpenVPN, обеспечивают передачу зашифрованного контента на скорости до 2000 Мбит в секунду.
• В работе OpenVPN задействуются технологии TCP и UDP, благодаря чему стандарт можно задействовать в качестве альтернативы для других протоколов, когда описываемый стандарт заблокирован на стороне провайдера. А еще он работает стабильно и реже остальных теряет соединение с интернетом (в этом тоже помогает поддержка TCP).

Для настройки и запуска OpenVPN нужен клиент, то есть программное обеспечение, адаптированное под работу с протоколом. Использовать встроенные системные инструменты не получится. Благо клиентских приложений, поддерживающих эту технологию, хватает. И они доступны на Windows, macOS, Linux, iOS и Android. В зависимости от количества подключений OpenVPN может быть бесплатным, но бизнес-клиентам придется заплатить.

Протокол находится в активной разработке, постоянно обрастает обновленными стандартами защиты и повышениями производительности. 

Мы уже писали ранее о том, как установить OpenVPN на свой сервер с Ubuntu.  И даже рассказали о том, как настроить собственный туннель. 

PPTP

Point-to-Point Tunneling Protocol — старая технология, которая давно перешла в разряд винтажных и сейчас практически не используется. Была создана компанией Microsoft в 1999 году. 

Протокол устанавливает стандартное двухканальное соединения типа PPP между устройствами, а потом передает данные через инкапсуляцию по методу Generic Routing Encapsulation. Параллельно с этим действует соединение по TCP-порту. Первое используется непосредственно для передачи информации, второе нужно для управления подключением.

PPTP сложен в настройке и в управлении. К примеру, из-за необходимости поддерживать сразу две сетевые сессии с трудом получается перенаправлять сигнал на сетевой экран. Из-за спецификаций GRE и других компонентов протокола страдает безопасность. 

Несмотря на наличие поддержки MS-CHAPv2 и EAP-TLS для авторизации пользователей, PPTP остается небезопасным VPN-протоколом, не рекомендуемым к использованию для решения серьезных задач. Подобрать ключ и получить доступ к частной сети можно примерно за 23 часа с помощью профильного онлайн-сервиса. 

В свое время эта технология обрела успех благодаря поддержке со стороны Microsoft и внедрению PPTP в Windows по умолчанию. Для настройки не требовались сторонние клиенты и программные инструменты, но в связи с появлением более надежных альтернатив в духе OpenVPN, популярность PPTP начала снижаться. Сейчас даже Microsoft рекомендует использовать продукты конкурентов и прекратить эксплуатировать PPTP ввиду его незащищенности и нестабильности. 

SSTP

Secure Socket Tunneling Protocol — модифицированная версия PPTP. Эдакая надстройка старого протокола, которая должна была стать не только духовным продолжением ранее существовавшей технологии, но и исправлением всех ошибок, допущенных в «предыдущей версии». 

Сколько-то заметной популярности протокол не сыскал. Доля на рынке VPN у SSTP такая же скромная, как и у предыдущей итерации протокола Microsoft. Но у него есть преимущество в виде отсутствия критических проблем с безопасностью. Таких зияющих дыр в нем нет и перехватить трафик гораздо сложнее. 

Помогает SSL-шифрование. При подключении к SSTP вся информация отправляется через TCP-порт 443. Такой подход делает его полезным при необходимости создавать безопасные подключения со странами, где большая часть VPN-сервисов заблокирована или запрещена законом. 

Многочисленные тестирования показали, что SSTP может передавать данные на высокой скорости (если канал свободен) и быстро восстанавливать соединение, если то неожиданно оборвалось. По этим показателям протокол стремится к OpenVPN, но не дотягивает ввиду некоторых ограничений технологии. 

Secure Socket Tunneling Protocol доступен на операционных системах Windows, Linux и BSD, но поддерживается ограниченным количеством сервисов. Их тяжело найти, а еще они зачастую обходятся дороже альтернатив. Отсюда и скромная аудитория SSTP, которая и не планирует расти в ближайшем будущем из-за продвинутости конкурентов. 

IPsec

Internet Protocol Security представляет собой не одну технологию, а набор протоколов. Каждый из них помогает обеспечить безопасность информации, передаваемой по IP-сети.  По сути, они не создавались для организации VPN-соединений, это одно из нескольких применений.

Прелесть IPsec заключается в его упрощенной настройке. Благодаря своей архитектуре и работе на сетевом уровне не возникает потребности в подключении сторонних клиентов. VPN на базе Internet Protocol Security можно «поднять» во всех операционных системах встроенными средствами – через параметры ОС. Это его главное преимущество над OpenVPN.

Безопасность IPsec достигается за счет работы двух механизмов. 

1. Authentication Header – ставит цифровую подпись каждой единице данных, передаваемой через VPN-соединение.
2. Encapsulating Security Protocol – защищает целостность передаваемой информации и конфиденциальность пользователей протокола.

IPsec используется в тандеме с другими техническими решениями. Зачастую речь идет о комбинировании технологий IPsec и L2TP или об IPsec + IKEv2.

IPsec/L2TP

L2TP задумывалась как альтернатива PPTP. Проблема была в отсутствии механизмов шифрования данных и методов авторизации. Поэтому вместе с ней всегда подключали IPsec. Таким образом удавалось задействовать AES-алгоритмы шифровки данных. Из недостатков метода можно выделить сложности при работе с некоторыми брандмауэрами, они частенько блокируют соединения по порту 500. А еще он медленный, потому что дважды за сессию инкапсулирует передаваемую информацию. Другие протоколы так не делают. 

IPsec/IKEv2

Разработан командой разработчиков из Microsoft и Cisco, но имеет несколько вариаций с открытым исходным кодом, написанных независимыми программистами. IKEv2 хорош наличием поддержки Mobility and Multi-homing Protocol. Это делает его устойчивым к смене сетей, это поможет владельцам смартфонам оставаться на связи даже при выходе в сеть через VPN. Подключение к VPN-серверу не обрывается при смене роутера, к которому подключен гаджет или смене точки доступа во время поездок. 

IKEv2 поддерживает методы шифрования AES, Blowfish и Camellia. В этом плане он не отличается от L2TP. Так что уровень защищенности от атак извне у них идентичный. Также он потребляет меньше ресурсов, чем условный OpenVPN, и от этого демонстрирует более высокую скорость передачи данных. По умолчанию поддерживается в Windows 7 и новее, в macOS Lion и новее, в iOS и в ряде смартфонов на базе Android.

WireGuard

Новое поколение VPN-протоколов. Разработчики называют его ускоренной, надежной и простой в управлении альтернативой OpenVPN и другим используемым технологиям. Какого-то конкретного мнения по поводу WireGuard пока выражено не было. 

Известно, что в его основе лежит ворох технологий шифрования, бережно оберегающих каждый байт отправляемых данных. Используются Curve25519, ChaCha20, SipHash, BLAKE2 и Poly1305. Причем каждый из перечисленных типов криптографии берет на себя конкретную задачу. Допустим, Curve25519 необходим для обмена ключами, BLAKE2 занимается хэшированием информации, а Poly1305 задействуется для аутентификации.

 

WireGuard легковесный – он состоит всего из четырех тысяч строк кода. Поэтому разработчики при желании могут быстро его исследовать, проанализировать и даже поменять что-то. Это открытый стандарт, как и OpenVPN. Эта легковесность распространяется и на пользовательский опыт – люди охотно отмечают, что настроить WireGuard легче, чем остальные протоколы. 

По результатом бенчмарков, WireGuard обгоняет лидеров рынка. Разрыв между WG и OpenVPN впечатляет. 1011 Мбит в секунду против 258 Мбит в секунду соответственно. С IPsec разница не такая большая, но она есть, и как раз в пользу WireGuard.

SoftEther

Недавняя разработка из Цукубского университета. Кроссплатформенный японский VPN-проект, который бок о бок с WireGuard стремится выйти на первые позиции, обойдя OpenVPN. 

Хорош совместимостью с другими VPN-технологиями. Может работать в комбинациях с IPsec, EtherIP, L2TP. Из дополнительных функций предлагает: динамический DNS, встроенный фильтр пакетов, удобную панель управления и контроль над RPC через HTTPS. А еще он без проблем обходит чересчур бдительные брандмауэры, мешающие нормальной работе сети даже в безопасных условиях. 

На SoftEther можно легко перебраться с OpenVPN за счет глубокой интеграции двух сервисов и функции клонирования в японском протоколе. 

Так же, как OpenVPN и WireGuard, имеет открытый исходный код и распространяется бесплатно. 

Сравнительная таблица протоколов

Закрепим новую информацию с помощью таблицы.

	OpenVPN	PPTP	SSTP	IPsec	WireGuard	SoftEther
Создатели	OpenVPN Technologies	Microsoft	Microsoft	Cisco и другие	Джейсон Донфилд	Университет Цукуба
Тип лицензии	GNU GPL (открытый исходный код)	Проприетарная	Проприетарная	Зависит от реализации	GNU GPL (открытый исходный код)	Apache License 2.0
Поддерживаемые платформы	Нативно не поддерживает ни одну ОС. Сторонние клиенты для настройки есть для Windows, Linux, macOS, iOS и Android	Windows, macOS, Linux и iOS без необходимости скачивать дополнительное ПО	Windows без необходимости скачивать дополнительное ПО	Windows, macOS, Linux и iOS без необходимости скачивать дополнительное ПО	Windows, macOS, Linux и iOS без необходимости скачивать дополнительное ПО	Windows, macOS, iOS, Linux и Android
Используемые порты	Любой TCP и UPD	TCP 1723	TCP 443	UDP 500, UDP 1701 (зависит от выполнимых задач)	Любой UPD	Любой TCP
Методы шифрования	Библиотека OpenSSL	Самый безопасный из доступных — MPPE	SSL	Самый безопасный из доступных — AES	Curve25519, ChaCha20, SipHash, BLAKE2 и Poly1305	SSL
Уязвимости	Не найдено	Атаки по словарю MSCHAP-V2 и Bit Flipping	Не найдено	Не найдено	Не найдено	Не найдено

Какой протокол выбрать?

Пока что фаворитом является OpenVPN. Он уже давно на рынке и успел себя зарекомендовать. Используется топовыми VPN-cервисами, работает на Android, iOS, Windows, macOS, Linux и даже на роутерах. Разве что на утюге не получится запустить. Скорость работы OpenVPN хоть и не поражает, но ее хватит для комфортной работы. 

Второе место я бы отдал WireGuard. Это пока еще темная лошадка, но зато с кучей бонусов. Он превосходит OpenVPN и IPsec по всем параметрам, но пока не вызывает такого доверия, как первый. Но это все же дело времени. Кажется, что в ближайшем будущем расстановка сил на рынке VPN-сервисов заметно скорректируется.

Замкнет тройку лидеров IPsec – jтличный баланс между производительностью и доступностью. Правда, если не брать в расчет подозрительную историю с утечкой данных американских спецслужб. Если им верить, то в IPsec встроены бэкдоры, позволяющие отслеживать трафик, передаваемый по протоколу IPsec в тайне от отправляющего. 

Остальные технологии оказались на обочине прогресса. Не советую их использовать. Только если все остальные варианты почему-то оказались недоступны.

Выводы

Теперь вы знакомы с особенностями VPN-протоколов. Опираясь на эту информацию, будет несложно выбрать подходящий (учитывая тот факт, что выбор-то, на самом деле, невелик). Остается «поднять» собственный сервер на базе OpenVPN или подобрать сервис в духе того же TunnelBear. Главное, не использоваться бесплатные варианты.
 

Windows NT 4.0 может выступать в роли простого VPN-сервера с ограниченными возможностями, который поддерживает только протокол PPTP (Virtual Private Network, VPN — виртуальная частная сеть; Point-to-Point Tunneling Protocol, PPTP, Layer 2 Tunneling Protocol, L2TP). Windows 2000 обеспечивает не только более высокую надежность и новые возможности масштабирования и управления, но и поддержку двух VPN-протоколов — PPTP и L2TP. Чтобы решить, какой из протоколов предпочтительней использовать при установке VPN-сервера, следует рассмотреть их способы аутентификации и шифрования. L2TP имеет больше функциональных возможностей, чем PPTP. Напомню, что с середины 90-х гг. две компании развивали свои собственные VPN-протоколы: Microsoft PPTP и Cisco L2F. В дальнейшем Microsoft и Cisco объединили PPTP и L2F в общий протокол L2TP, ставший затем открытым стандартом. Чтобы успешно применять L2TP, следует познакомиться с его расширенными возможностями поближе. Знание протоколов PPTP и L2TP поможет выбрать оптимальную конфигурацию для того или иного случая.

Обзор VPN

VPN создает защищенный канал связи через Internet между компьютером удаленного пользователя и частной сетью его организации. Если представить Internet в виде трубы, то VPN создает внутри нее трубу меньшего диаметра, доступную только для пользователей организации. VPN обеспечивает пользователю защищенный доступ к его частной сети практически через любой тип соединения с Internet. Наличие IP-сети между клиентом и сервером VPN является единственным требованием для реализации Microsoft VPN. Достаточно, чтобы и клиент и сервер были подключены к Internet.

Технология VPN позволяет компаниям избежать расходов на организацию или аренду прямых соединений: например, каналов E1, ISDN, frame relay, а также на содержание собственных модемных пулов. Взамен всего этого можно использовать имеющийся у компании канал в Internet. Лишь небольшие административные затраты требуются для соединения расположенных в любых точках планеты офисов компании при помощи защищенного канала. Организация виртуальных частных сетей является сегодня одним из самых актуальных направлений в области сетевых технологий. Специалисты Microsoft проделали большую работу, чтобы облегчить реализацию виртуальных частных сетей в Windows 2000.

Опора на PPP

В чем сходство и различие между PPTP и L2TP? Если рассмотреть структуру пакетов, станет очевидно, что и PPTP и L2TP основываются на протоколе Point-to-Point Protocol (PPP) и являются его расширениями. Данные верхних уровней модели OSI сначала инкапсулируются в PPP, а затем в PPTP или L2TP для туннельной передачи через сети общего доступа.

В Таблице 1 показаны протоколы и соответствующие им уровни модели OSI. PPP, расположенный на канальном уровне, первоначально был разработан для инкапсуляции данных и их доставки по соединениям типа точка-точка. Если организация использует какой-либо тип соединения точка-точка, например линию E1, то, скорее всего, интерфейсы маршрутизатора применяют инкапсуляцию PPP. Этот же протокол служит для организации асинхронных (например, коммутируемых) соединений. В настройках коммутируемого доступа удаленных систем Windows 2000 или Windows 9x обычно указывается подключение к серверу по PPP.

PPP обладает несколькими преимуществами по сравнению со своим старшим собратом Serial Line Internet Protocol (SLIP). В качестве примера можно привести аутентификацию с использованием CHAP и сжатие данных. В набор PPP входят протокол Link Control Protocol (LCP), ответственный за конфигурацию, установку, работу и завершение соединения точка-точка, и протокол Network Control Protocol (NCP), способный инкапсулировать в PPP протоколы сетевого уровня для транспортировки через соединение точка-точка. Это позволяет одновременно передавать пакеты Novell IPX и Microsoft IP по одному соединению PPP.

Безусловно, PPP является важной частью PPTP и L2TP. Благодаря PPP стало возможным использование PPTP и L2TP для выполнения удаленных приложений, зависящих от немаршрутизируемых протоколов. На физическом и канальном уровнях PPTP и L2TP идентичны, но на этом их сходство заканчивается, и начинаются различия.

Туннелирование

Для доставки конфиденциальных данных из одной точки в другую через сети общего пользования сначала производится инкапсуляция данных с помощью протокола PPP, затем протоколы PPTP и L2TP выполняют шифрование данных и собственную инкапсуляцию.

В соответствии с моделью OSI протоколы инкапсулируют блоки данных protocol data unit (PDU) по принципу матрешки: TCP (транспортный уровень) инкапсулируется протоколом IP (сетевой уровень), который затем инкапсулируется PPP (на канальном уровне).

После того как туннельный протокол доставляет пакеты из начальной точки туннеля в конечную, выполняется деинкапсуляция.

Старина PPTP

PPTP инкапсулирует пакеты IP для передачи по IP-сети. Клиенты PPTP используют порт назначения 1723 для создания управляющего туннелем соединения. Этот процесс происходит на транспортном уровне модели OSI. После создания туннеля компьютер-клиент и сервер начинают обмен служебными пакетами.

В дополнение к управляющему соединению PPTP, обеспечивающему работоспособность канала, создается соединение для пересылки по туннелю данных. Инкапсуляция данных перед пересылкой через туннель происходит несколько иначе, чем при обычной передаче (например, при работе telnet). Инкапсуляция данных перед отправкой в туннель включает два этапа. Сначала создается информационная часть PPP. Данные проходят сверху вниз, от прикладного уровня OSI до канального. Затем полученные данные отправляются вверх по модели OSI и инкапсулируются протоколами верхних уровней.

Таким образом, во время второго прохода данные достигают транспортного уровня. Однако информация не может быть отправлена по назначению, так как за это отвечает канальный уровень OSI. Поэтому PPTP шифрует поле полезной нагрузки пакета и берет на себя функции второго уровня, обычно принадлежащие PPP, т. е. добавляет к PPTP-пакету PPP-заголовок (header) и окончание (trailer). На этом создание кадра канального уровня заканчивается. Далее, PPTP инкапсулирует PPP-кадр в пакет Generic Routing Encapsulation (GRE), который принадлежит сетевому уровню. GRE инкапсулирует протоколы сетевого уровня, например IPX, AppleTalk, DECnet, чтобы обеспечить возможность их передачи по IP-сетям. Однако GRE не имеет возможности устанавливать сессии и обеспечивать защиту данных от злоумышленников. Для этого используется способность PPTP создавать соединение для управления туннелем. Применение GRE в качестве метода инкапсуляции ограничивает поле действия PPTP только сетями IP.

После того как кадр PPP был инкапсулирован в кадр с заголовком GRE, выполняется инкапсуляция в кадр с IP-заголовком. IP-заголовок содержит адреса отправителя и получателя пакета. В заключение PPTP добавляет PPP заголовок и окончание. На Рисунке 1 показана структура данных для пересылки по туннелю PPTP.

Рисунок 1. Структура данных для пересылки по туннелю PPTP.

Система-отправитель посылает данные через туннель. Система-получатель удаляет все служебные заголовки, оставляя только данные PPP.

Новый игрок на поле

L2TP появился в результате объединения протоколов PPTP и Layer 2 Forwarding (L2F). PPTP позволяет передавать через туннель пакеты PPP, а L2F-пакеты SLIP и PPP. Во избежание путаницы и проблем взаимодействия систем на рынке телекоммуникаций, комитет Internet Engineering Task Force (IETF) рекомендовал компании Cisco Systems объединить PPTP и L2F. По общему мнению протокол L2TP вобрал в себя лучшие черты PPTP и L2F.

Главное достоинство L2TP в том, что этот протокол позволяет создавать туннель не только в сетях IP, но и в таких, как ATM, X.25 и frame relay. К сожалению, реализация L2TP в Windows 2000 поддерживает только IP.

L2TP применяет в качестве транспорта протокол UDP и использует одинаковый формат сообщений как для управления туннелем, так и для пересылки данных. L2TP в реализации Microsoft использует в качестве контрольных сообщений пакеты UDP, содержащие шифрованные пакеты PPP. Надежность доставки гарантирует контроль последовательности пакетов. Сообщения L2TP имеют поля Next-Received и Next-Sent. Эти поля выполняют те же функции, что и поля Acknowledgement Number и Sequence Number в протоколе TCP.

Как и в случае с PPTP, L2TP начинает сборку пакета для передачи в туннель с того, что к полю информационных данных PPP добавляется сначала заголовок PPP, затем заголовок L2TP. Полученный таким образом пакет инкапсулируется UDP. Протокол L2TP использует UDP-порт 1701 в качестве порта отправителя и получателя. В зависимости от выбранного типа политики безопасности IPSec, L2TP может шифровать UDP-сообщения и добавлять к ним заголовок и окончание Encapsulating Security Payload (ESP), а также окончание IPSec Authentication. Затем производится инкапсуляция в IP. Добавляется IP-заголовок, содержащий адреса отправителя и получателя. В завершение L2TP выполняет вторую PPP-инкапсуляцию для подготовки данных к передаче. На Pисунке 2 показана структура данных для пересылки по туннелю L2TP.

Компьютер-получатель принимает данные, обрабатывает заголовок и окончание PPP, убирает заголовок IP. При помощи IPSec Authentication проводится аутентификация информационного поля IP, а ESP-заголовок IPSec помогает расшифровать пакет.

Далее компьютер обрабатывает заголовок UDP и использует заголовок L2TP для идентификации туннеля. Пакет PPP теперь содержит только полезные данные, которые обрабатываются или пересылаются указанному получателю.

Безопасность

Обеспечение безопасности является основной функцией VPN. Все данные от компьютеров-клиентов проходят через Internet к VPN-серверу. Такой сервер может находиться на большом расстоянии от клиентского компьютера, и данные на пути к сети организации проходят через оборудование множества провайдеров. Как убедиться, что данные не были прочитаны или изменены? Для этого применяются различные методы аутентификации и шифрования.

Для аутентификации пользователей PPTP может задействовать любой из протоколов, применяемых для PPP, включая Extensible Authentication Protocol (EAP), Microsoft Challenge Handshake Authentication Protocol (MSCHAP) версии 1 и 2, Challenge Handshake Authentication Protocol (CHAP), Shiva Password Authentication Protocol (SPAP) и Password Authentication Protocol (PAP). Лучшими считаются протоколы MSCHAP версии 2 и Transport Layer Security (EAP-TLS), поскольку они обеспечивают взаимную аутентификацию, т. е. VPN-сервер и клиент идентифицируют друг друга. Во всех остальных протоколах только сервер проводит аутентификацию клиентов.

Шифрование с помощью PPTP гарантирует, что никто не сможет получить доступ к данным при пересылке через Internet. Протокол шифрования MPPE (Microsoft Point-to-Point Encryption) совместим только с MSCHAP (версии 1 и 2) и EAP-TLS и умеет автоматически выбирать длину ключа шифрования при согласовании параметров между клиентом и сервером. MPPE поддерживает работу с ключами длиной 40, 56 или 128 бит. Старые операционные системы Windows поддерживают шифрование с длиной ключа только 40 бит, поэтому в смешанной среде Windows следует выбирать минимальную длину ключа.

PPTP изменяет значение ключа шифрации после каждого принятого пакета. Протокол MMPE разрабатывался для каналов связи точка-точка, в которых пакеты передаются последовательно, и потеря данных очень мала. В этой ситуации значение ключа для очередного пакета зависит от результатов дешифрации предыдущего пакета. При построении виртуальных сетей через сети общего доступа эти условия соблюдать невозможно, так как пакеты данных часто приходят к получателю не в той последовательности, в какой были отправлены. Поэтому PPTP использует для изменения ключа шифрования порядковые номера пакетов. Это позволяет выполнять дешифрацию независимо от предыдущих принятых пакетов.

Хотя PPTP обеспечивает достаточную степень безопасности, но все же L2TP поверх IPSec надежнее. L2TP поверх IPSec обеспечивает аутентификацию на уровнях «пользователь» и «компьютер», а также выполняет аутентификацию и шифрование данных.

На первом этапе аутентификации клиентов и серверов VPN, L2TP поверх IPSec использует локальные сертификаты, полученные от службы сертификации. Клиент и сервер обмениваются сертификатами и создают защищенное соединение ESP SA (security association).

После того как L2TP (поверх IPSec) завершает процесс аутентификации компьютера, выполняется аутентификация на уровне пользователя. Для аутентификации можно задействовать любой протокол, даже PAP, передающий имя пользователя и пароль в открытом виде. Это вполне безопасно, так как L2TP поверх IPSec шифрует всю сессию. Однако проведение аутентификации пользователя при помощи MSCHAP, применяющего различные ключи шифрования для аутентификации компьютера и пользователя, может усилить защиту.

L2TP поверх IPSec обеспечивает более высокую степень защиты данных, чем PPTP, так как использует алгоритм шифрования Triple Data Encryption Standard (3DES). 3DES был разработан для защиты особо секретных данных, и его применение разрешено только в Северной Америке. Если столь высокий уровень защиты не нужен, можно использовать алгоритм DES с одним 56-разрядным ключом, что позволяет снизить расходы на шифрование (3DES использует три 56-разрядных ключа).

L2TP поверх IPSec выполняет шифрование данных и аутентификацию на уровнях компьютера и пользователя. Кроме того, при помощи алгоритма Hash Message Authentication Code (HMAC) Message Digest 5 (MD5) L2TP обеспечивает аутентификацию данных. Для аутентификации данных этот алгоритм создает хеш длиной 128 разрядов.

Выбор очевиден

Функциональные возможности PPTP и L2TP различны. L2TP может использоваться не только в IP-сетях, служебные сообщения для создания туннеля и пересылки по нему данных используют одинаковый формат и протоколы. PPTP может применяться только в IP-сетях, и ему необходимо отдельное соединение TCP для создания и использования туннеля. L2TP поверх IPSec предлагает больше уровней безопасности, чем PPTP, и может гарантировать почти 100-процентную безопасность важных для организации данных.

Особенности L2TP делают его очень перспективным протоколом для построения виртуальных сетей. Очень многие IT-специалисты уже сделали выбор в пользу L2TP поверх IPSec. Разработчики Microsoft упростили установку L2TP до нескольких щелчков мышью, так почему бы не попробовать L2TP, тем более что вы уже заплатили за это при покупке лицензии на Windows 2000?

Райан Норман — IT-менеджер в компании Core-change из Бостона. Имеет сертификаты MCSE+I, CCNA, и CCDA. С ним можно связаться по адресу: ryan.norman@corechange.com.

Платформа Windows Server остается одной из наиболее популярных серверных платформ, в том числе и для реализации решений удаленного доступа. Служба маршрутизации и удаленного доступа (RRAS) позволяет быстро и достаточно просто развернуть VPN-сервер практически для любых нужд. Сегодня мы еще раз вернемся к этому вопросу и рассмотрим, как создать на базе Windows Server PPTP или L2TP сервер для удаленного доступа, как наиболее востребованный сценарий на сегодняшний день.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Почему именно эти типы подключения? Потому что они наиболее просты в реализации и поддерживаются широким спектром клиентов что называется «из коробки». Однако следует помнить, что PPTP не является на сегодняшний день безопасным и имеет слабые алгоритмы шифрования, но при этом он наиболее производительный из VPN-протоколов и имеет минимальные накладные расходы. Кроме того, его поддержка исключена из операционных систем Apple.

Оптимальным вариантом будет использование L2TP/IPsec подключения, которое сочетает в себе простоту, поддержку практически любыми клиентскими ОС и устройствами вместе с неплохим уровнем безопасности, обеспечиваемым IPsec. А так как настройка сервера для этих видов подключений практически идентична, то мы решили объединить их в одну статью.

Установка и настройка службы маршрутизации и удаленного доступа

Для начала работы с VPN в среде Windows Server вам потребуется установить роль Удаленный доступ, это делается стандартными средствами и не должно вызвать затруднений.

В Службах ролей выбираем Маршрутизация, роль DirectAccess и VPN (RAS) будет добавлена автоматически.

После установки роли Удаленный доступ ее следует настроить, проще всего это сделать, нажав на значок с желтым треугольником в Диспетчере серверов и выбрать в появившемся списке пункт Запуск мастера начальной настройки.

В появившемся окне выбираем пункт Развернуть только VPN.

Затем в оснастке Маршрутизация и удаленный доступ щелкаем правой кнопкой мыши по строке с сервером и выбираем в выпадающем меню Настроить и включить маршрутизацию и удаленный доступ.

После чего появится хорошо знакомое окно мастера настройки, предлагающее сразу несколько типовых конфигураций, однако у него есть свои особенности, например, если у вашего сервера всего один сетевой интерфейс, то настроить вариант Удаленный доступ (VPN или модем) мастер вам не даст. Поэтому выбираем самый нижний пункт — Особая конфигурация.

В следующем окне достаточно поставить галочку Доступ к виртуальной частной сети (VPN) и завершить работу мастера.

После завершения работы мастера служба Маршрутизации и удаленного доступа будет запущена и можно приступить к настройке сервера удаленного доступа. Если же данная служба у вас уже установлена и настроена в иной конфигурации, то щелкните правой кнопкой по строке сервера и выберите Свойства, в открывшемся окне на закладке Общие установите опции: IPv4-маршрутизатор локальной сети и вызова по требованию и IPv4-сервер удаленного доступа.

Настройка PPTP и/или L2TP сервера удаленного доступа

Откроем оснастку Маршрутизация и удаленный доступ и перейдем к свойствам сервера через одноименный пункт в меню правой кнопки мыши, прежде всего убедимся, что настройки на закладке Общие соответствуют приведенным на скриншоте выше. Затем переключимся на закладку Безопасность и убедимся, что в качестве Поставщика службы проверки подлинности стоит Windows — проверка подлинности, а Поставщик учета — Windows-учет, еще ниже установим флаг Разрешить пользовательские политики IPsec для L2TP- и IKEv2-подключения и в поле Общий ключ укажите парольную фразу для предварительного ключа.

Нажав на кнопку Методы проверки подлинности откроем окно, в котором выберем только Протокол EAP и Шифрованная проверка (Microsoft, версия 2, MS-CHAP v2), остальные протоколы не являются безопасными и должны быть отключены.

На закладке IPv4 укажем опцию Назначение IPv4-адресов — Статический пул адресов и добавим новый пул для выдачи адресов из него удаленным клиентам. Количество адресов должно быть не менее количества клиентов плюс один адрес, так как первый адрес из пула присваивается серверу. Что касается самого диапазона адресов, то его выбор зависит от конфигурации сети, если вы будете использовать маршрутизацию, то он не должен пересекаться с локальной сетью, если же хотите использовать ProxyARP, то наоборот, должны выделить принадлежащий локальной сети диапазон. В нашем случае используется второй вариант.

На этом настройка сервера может считаться законченной, следующим шагом следует разрешить подключения нужным пользователям, для этого в свойствах пользователя перейдем на закладку Входящие звонки и в блоке Права доступа к сети укажем Разрешить доступ. Теперь указанный пользователь может подключаться к нашему серверу используя свои учетные данные.

Также не забудьте проверить настройки брандмауэра, чтобы убедиться, что правила Маршрутизация и удаленный доступ GRE-входящий, PPTP-входящий (для PPTP) и L2TP-входящий (для L2TP) включены.

Proxy ARP

Сетевое взаимодействие в пределах одной IP-сети осуществляется на канальном (L2) уровне, в сетях Ethernet для этого используются MAC-адреса устройств. Для того, чтобы выяснить MAC-адрес узла по его IP применяется протокол ARP (Address Resolution Protocol), использующий широковещательные запросы, на которые отвечает только обладатель указанного IP-адреса. Выдавая удаленным клиентам адреса из диапазона основной сети мы как бы помещаем их в общую IP-сеть, но так как VPN — это соединение точка-точка, ARP-запросы от удаленных клиентов в сеть попадать не будут, единственный узел который их получит — сам VPN-сервер.

Для решения данной проблемы используется технология Proxy ARP, которая, как понятно из названия, представляет прокси-сервер для ARP-запросов, позволяя удаленным клиентам работать так, как будто бы они действительно находились в одной сети, без каких-либо дополнительных настроек. При использовании RRAS никаких дополнительных действий делать не нужно, Proxy ARP работает по умолчанию.

VPN-сервер за NAT

Так как мы используем Windows Server, то с большой долей вероятности он будет находиться внутри сетевого периметра и нам понадобится настроить проброс портов на маршрутизаторе. Для этого нужно четко понимать, как работает VPN-соединение и какие порты и протоколы следует передавать.

Начнем с PPTP, прежде всего клиент устанавливает управляющее TCP-соединение на порт 1723, затем, после успешной аутентификации создается соединение для передачи данных с использованием протокола GRE.

Таким образом для работы PPTP-сервера за NAT нужно:

• пробросить порт 1723 TCP
• разрешить прохождение GRE-трафика

С первым понятно, а вот с GRE могут возникнуть затруднения. Если вы используете маршрутизатор на базе Linux, то обратитесь к следующей нашей статье, если оборудование Mikrotik, настроенное по нашей инструкции, то достаточно пробросить только 1723 TCP, прохождение GRE будет разрешено конфигурацией брандмауэра, в остальных случаях следует обратиться к документации на свою модель маршрутизатора.

С L2TP сложнее, точнее не с ним самим, а с IPsec, который не поддерживает NAT. Для обхода этих ограничений используется протокол NAT-T, который инкапсулирует пакеты IPsec в UDP, позволяя успешно проходить через NAT. Поддержка данного протокола включена по умолчанию практически во всех ОС, кроме Windows. Для включения поддержки NAT-T следует внести изменения в реестр, найдите ветку:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent

И создайте в ней параметр DWORD c именем AssumeUDPEncapsulationContextOnSendRule и значением 2.

Это можно быстро сделать при помощи PowerShell:

Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesPolicyAgent" -Name "AssumeUDPEncapsulationContextOnSendRule" -Type DWORD -Value 2 -Force

После чего систему следует перезагрузить. Данные изменения нужно внести как на сервере, так и на клиенте.

При установлении L2TP/IPsec соединения между узлами прежде всего создается зашифрованный IPsec-канал, для этого используется протокол обмена ключами IKE (порт 500 UDP) и протокол NAT-T (порт 4500 UDP), затем уже внутри безопасного IPsec-соединения поднимается L2TP-туннель на порт 1701 UDP и происходит аутентификация пользователя.

Обратите внимание, аутентификация пользователя в L2TP, в отличии от PPTP, происходит внутри защищенного IPsec-канала, что делает данный тип соединения более безопасным.

Таким образом для работы L2TP/IPsec сервера за NAT нужно:

• пробросить порт 500 UDP
• пробросить порт 4500 UDP
• внести изменения в реестр для включения NAT-T как на сервере, так и на клиенте (только для Windows)

Вопреки распространенному заблуждению порт 1701 UDP пробрасывать не нужно.

Настройка VPN-подключения в Windows

С одной стороны это простой вопрос, с другой — имеются определенные тонкости, на которые мы как раз и обратим внимание. В Windows 10 для первичной настройки VPN-подключения служит современное приложение, которое предельно простое и не охватывает дополнительных настроек.

Поэтому после того, как вы создадите в нем подключение, следует перейти к его свойствам и на закладке Параметры — Параметры PPP установить в открывшемся окне все флажки. Это позволит использовать все возможности протокола PPP и получить оптимальное качество связи. Обратите внимание, что данные опции должны также поддерживаться со стороны сервера, в противном случае их использование в одностороннем порядке может привести к ошибкам при установлении связи.

Затем на закладке Безопасность установите в Шифрование данных — обязательное, а в пункте Проверка подлинности выберите Протокол расширенной проверки подлинности (EAP).

И наконец на закладке Сеть перейдите в свойства протокола IP версии 4 (TCP/IP 4) и нажмите Дополнительно, в открывшемся окне снимите флаг Использовать основной шлюз в удаленной сети, в противном случае весь исходящий трафик будет направлен в туннель.

После чего можем подключаться и пробовать получить доступ к ресурсам удаленной сети, если вы все сделали правильно, то проблем возникнуть не должно.

Настройка VPN-подключения в Linux

В данной части нашего материала мы будем рассматривать настройку клиентских Linux-систем при помощи графического окружения и Network Manager, настройка серверных систем выходит за рамки текущей статьи. В качестве примера мы будем использовать Ubuntu, но все сказанное будет справедливо для любых основанных на Debian систем, а с некоторыми уточнениями — для любых дистрибутивов.

Поддержка PPTP присутствует практически в любом дистрибутиве по умолчанию. Достаточно перейти в Настройки — Сеть и добавить новое VPN-подключение.

Заполняем основные настройки: адрес сервера, имя и пароль пользователя.

Затем нажимаем кнопку Дополнительно и в открывшемся окне в разделе Аутентификация оставляем только MSCHAPv2, обязательно включаем Использовать шифрование MPPE и выбираем ниже 128 бит (наиболее защищенное), также устанавливаем флаг Включить Stateful Encryption для уменьшения накладных расходов на шифрование. Флаги сжатия оставляем включенными.

Закрываем данное окно с сохранением данных и переходим на закладку IPv4, где в разделе Маршрутизация устанавливаем флаг Использовать это подключение только для ресурсов этой сети, в противном случае в туннель пойдет весь трафик узла.

На этом настройка подключения завершена, можно подключаться.

Для работы с L2TP потребуется установить дополнительные пакеты:

apt install network-manager-l2tp-gnome

После чего в доступных типах подключения появится L2TP. Основные настройки ничем не отличаются от PPTP, также адрес сервера, имя и пароль пользователя.

Затем откроем Настройки PPP, в разделе Аутентификация также выберем только MSCHAPv2, а вот опции шифрования оставляем выключенными, так как чистый L2TP шифрования не использует, для защиты канала здесь применяется IPsec. Флаги сжатия также оставляем установленными по умолчанию.

Затем переходим в Настройки IPsec, это наиболее сложная и ответственная часть настроек, так как от них напрямую зависит безопасность соединения. В поле Pre-shared key введите Общий ключ, а ниже потребуется указать используемые шифры. Большинство материалов в сети интернет копируют друг у друга откровенно старые и слабые наборы шифров, что не соответствует реалиям сегодняшнего дня, хотя соединение с такими значениями будет работать. Мы же будем использовать максимально безопасные значения, для этого в поле Phase1 Algorithms укажите aes256-sha1-ecp384, а в поле Phase2 Algorithms — aes256-sha1.

Также имеет смысл установка флага Enforce UDP Encapsulation, который принудительно включает NAT-T, в случае если вы точно знаете, что ваш сервер находится за NAT, без этой опции протокол включается автоматически при обнаружении первого устройства с NAT.

Сохраняем настройки и переходим на вкладку IPv4, где также в разделе Маршрутизация ставим флаг Использовать это подключение только для ресурсов этой сети, чтобы направить в туннель только трафик для сети офиса.

На этом настройка закончена, можно подключаться.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Большинство технологий VPN-шифрования разработаны Национальным Институтом Стандартов и Технологий, однако откровения Эдварда Сноудена показывают, что правительство США уже много лет пытается взломать и обойти их. Конечно же, возникает вопрос — насколько безопасны все эти способы защиты? Пришло время разобраться в них — и именно для этого мы и написали эту статью.

Прежде всего, мы разберем основные различия между протоколами VPN и тем, как они влияют на пользователей, затем перейдем к основной части, связанной с шифрованием, а также тем, как атаки на NSA могут коснуться каждого пользователя VPN.

PPTP

Этот протокол разработан ассоциацией, возглавляемой Microsoft, и представляет собой туннелирование «точка-точка», то есть создается виртуальная частная сеть внутри общей сети, этот протокол был, есть и остается стандартом VPN с момента создания. Это первый VPN-протокол, поддерживаемый Windows, безопасность обеспечивается различными методами аутентификации, например, самый распространенный из них MS_CHAP v2.

Каждое устройство, работающее с VPN, поддерживает PPTP по умолчанию, и, поскольку его очень просто настроить, этот протокол продолжает оставаться самым популярным среди владельцев компаний и VPN-провайдеров. Это также самый быстрый протокол, так как для его реализации требуется меньше всего вычислений.

Однако, хотя по умолчанию используется 128-битное шифрование, присутствуют определенные уязвимости безопасности, одна из самых серьезных — неинкапсулированная аутентификация MS-CHAP v2. Из-за этого PPTP можно взломать в течение двух дней. И хотя эта проблема была исправлена Microsoft, все же рекомендуется использовать протоколы SSTP или L2TP для повышенной безопасности.

И, конечно же, столь низкая защита PPTP обусловливает то, что расшифровка этого протокола — стандартная процедура на сегодня. Что еще больше беспокоит, так это то, что Агентство национальной безопасности США расшифровывает не только настоящий трафик, но и данные, которые были зашифрованы еще в то время, когда протокол PPTP считался безопасным.

Плюсы

• Высокая скорость
• Встроенный клиент практически на всех платформах.
• Простая настройка

Минусы

• Протокол взломан Агентством национальной безопасности США
• Не гарантирует полную безопасность

L2TP и L2TP/IPsec

Протокол туннелирования уровня 2, в отличие от других протоколов VPN, не шифрует и не защищает данные. Из-за этого часто используются дополнительные протоколы, в частности IPSec, с помощью которого данные шифруются еще до передачи. Все современные устройства и системы, совместимые с VPN, имеют встроенный протокол L2TP/IPSec. Установка и настройка совершаются легко и не занимают много времени, однако может возникнуть проблема с использованием порта UDP 500, который блокируется файрволами NAT. Так что, если протокол используется с брандмауэром, может потребоваться переадресация портов.

Не известно о каких-либо крупных уязвимостях IPSec, и при правильном применении, этот протокол обеспечивает полную защиту конфиденциальных данных. Тем не менее, Эдвард Сноуден также отмечает, что и этот протокол не так безопасен. Джон Гилмор, основатель и специалист по безопасности Electric Frontier Roundation, заявляет, что Агентство национальной безопасности США намеренно ослабляет протокол. Более того, двукратное капсулирование данных делает протокол не столь эффективным, как, например, решения на основе SSL, но при этом он работает медленнее других протоколов.

Плюсы

• Считаются относительно безопасными протоколами
• Доступны в большинстве систем и почти на всех устройствах
• Простая настройка

Минусы

• Медленнее, чем OpenVPN
• Защита протокола нарушена Агентством национальной безопасности США
• Сложно использовать при наличии блокировки со стороны брандмауэра
• Вероятнее всего, Агентство национальной безопасности США намеренно ослабляет протокол.

OpenVPN

Относительно новая технология с открытым исходным кодом, OpenVPN использует протоколы SSLv3/TLSv1 и библиотеку OpenSSL, а также некоторые другие технологии, что в целом обеспечивает надежное и мощное VPN-решение для пользователей. Протокол гибок в настройке и лучше всего работает через UDP-порт, однако его можно настроить для работы с любым другим портом, так что сервисам типа Google будет трудно их заблокировать.

Другое значимое преимущество заключается в том, что библиотека OpenSSL поддерживает различные алгоритмы шифрования, в том числе 3DES, AES, Camellia, Blowfish, CAST-128, хотя провайдеры VPN используют практически исключительно только Blowfish или AES/ По умолчанию предоставляется 128-битное шифрование Blowfish. Обычно оно считается безопасным, однако были отмечены некоторые уязвимости.

Если говорить о шифровании, AES — это самая новая технология и она считается «золотым стандартом». На данный момент не известно об уязвимостях этой системы, так что она даже используется правительством и секретными службами США для защиты данных. AES лучше справляется с объемными файлами, чем, например, Blowfish, так как размер блока составляет 128 бит, тогда как у Blowfish — 64 бита. Тем не менее, оба механизма шифрования сертифицированы NIST, а значит, существуют определенные проблемы, о которых мы поговорим далее.

Прежде всего, скорость OpenVPN зависит от уровня шифрования, хотя обычно она выше, чем у IPSec. И хотя OpenVPN — это подключение, используемое по умолчанию большинством VPN-провайдеров, оно не поддерживается на каких-либо платформах. Однако активно разрабатываются приложения от сторонних производителей, в частности для Android и iOS.

Установка чуть сложнее, чем для L2TP/IPSec и PPTP, в частности когда используется общее приложение для OpenVPN. Вам потребуется не просто скачать и установить клиент, но еще и потратить время на изменение файлов настройки. Некоторые VPN-провайдеры предлагают предварительно настроенные клиенты.

Однако, с учетом всех факторов и информации, представленной Эдвардом Сноуденом, кажется, что протокол OpenVPN является самым безопасным на данный момент. Также предполагается, что он защищен от вмешательства Агентства национальной безопасности США, так как протокол использует экспериментальные методы шифрования. Без сомнения, никто не знает всех возможностей Агентства национальной безопасности, однако, скорее всего это единственный по-настоящему безопасный протокол на сегодня.

Плюсы

• Позволяет обходить большинство файрволов
• Гибкая настройка
• Открытый исходный код — может быстро адаптироваться к новым опасностям
• Совместим с различными алгоритмами шифрования
• Высокая степень безопасности

Минусы

• Сложно настроить
• Требуется стороннее ПО
• Поддержка компьютеров неплоха, но на мобильных устройствах протокол работает не лучшим образом.

SSTP

Впервые этот протокол был представлен компанией Microsoft в SP1 для Windows Vista, на сегодня этот протокол доступен для SEIL, Linux, RouterOS, но преимущественно он рассчитан для работы в Windows. В нем используется SSL v3, так что вас ждут практически те же преимущества, что и у OpenVPN, в частности, возможность обходить файрволы NAT. SSTP — это стабильный и простой в использовании протокол, интегрированный в Windows.

Однако, всеми правами на него владеет Microsoft. Известно, что гигант индустрии активно работает со спецслужбами, кроме того, ходят слухи о том, что в систему Windows изначально встроены механизмы слежки.

Плюсы

• Позволяет обходить большинство файрволов
• Уровень безопасности зависит от выбранного шифра, обычно он достаточно высокий.
• Хорошее взаимодействие с ОС Windows
• Поддержка Microsoft

Минусы

• Поскольку протоколом владеет компания Mirosoft, проверить или улучшить его невозможно
• Работает только на платформе Windows

IKEv2

Это протокол туннелирования (протокол обмена ключами, версия 2), разработанный Cisco и Microsoft, он встроен в Windows 7 и последующие версии. Протокол допускает модификации с открытым исходным кодом, в частности для Linux и других платформ, также поддерживаются устройства Blackberry.

Он хорошо подходит для установки автоматического VPN-подключения, если интернет-соединение периодически разрывается. Пользователи мобильных устройств могут воспользоваться им как протоколом для беспроводных сетей по умолчанию — он очень гибок и позволяет без труда переключать сети. Кроме того, он прекрасно подойдет для пользователей Blackberry — это один из немногих протоколов, с поддержкой подобных устройств. Хотя IKEv2 доступен на меньшем количестве платформ по сравнению с, например, IPSec, он считается достаточно хорошим протоколом с точки зрения стабильности, безопасности и скорости работы.

Плюсы

• Высокая степень безопасности — поддержка различных шифров, в частности 3DES, AES, AES 256.
• Также поддерживает устройства Blackberry.
• Стабильно подключается снова после разрыва соединения или смены сетей
• Просто установить и настроить, по крайней мере, для пользователя
• Быстрее, чем L2TP, PPTP и SSTP

Минусы

• Поддерживает малое количество платформ.
• Порт UDP 500 блокируется проще, чем решения на основе SSL, как, например, SSTP или OpenVPN
• Исходный код не открыт
• Установка на сервер довольно трудная, это может вызвать потенциальные проблемы

Проблемы

Чтобы понять то, как происходит шифрование, вам нужно разобраться в некоторых важных понятиях, которые мы рассмотрим далее.

Длина ключа шифрования

Самый грубый способ понять, сколько времени потребуется, чтобы дешифровать данные — это длина ключа, это ряды нулей и единиц, используемые в шифре. При подборе методом «brute force» выполняется самая прямолинейная попытка дешифровать ключ — проверяются все доступные комбинации, пока не будет найдена соответствующая. Обычно длина ключа для VPN составляет от 128 до 256 бит. Более высокие уровни используются для аутентификации, однако означает ли то, что шифр 256-бит лучше, чем шифр 128-бит?

Давайте разберемся и посчитаем:

• Чтобы взломать 128-битный шифр, потребуется 3,4×10(38) операций.
• Естественно, чтобы взломать 256-битный шифр, необходимо в 2(128) раз больше вычислений.
• Подбор 256-битного шифра потребует 3.31 x 10(65) операций, что примерно равно количеству атомов во вселенной.
• Самый быстрый компьютер 2011 года Фуджитсу К работает со скоростью до 10.51 петафлопс. У него подбор ключа AES 128-бит займет порядка миллиарда лет.
• NUDT Tianhe-2, самый мощный суперкомпьютер 2013 года, работает со скоростью до 33,86 петафлопс. Это почти в три раза быстрее, чем Фуджитсу К, так что у него это займет всего лишь треть миллиарда лет.

До того, как Эдвард Сноуден озвучил свои откровения, многие считали даже 128-битный шифр достаточной защитой, и что в ближайшие сто лет ключ к нему не будет подобран. Однако, с учетом того, какие ресурсы находятся в распоряжении Агентства национальной безопасности, многие системные администраторы рекомендуют увеличить длину ключа. Нелишним будет отметить, что правительство США использует 256-битное шифрование для защиты важных данных (для стандартных данных используется 128-битное). Тем не менее, даже с учетом этих надежных методов шифрования, AES может вызвать определенные проблемы

Шифры

Шифры — это математические алгоритмы, используемые в процессе шифрования, более простые из них уязвимы для хакеров, так как позволяют дешифровать данные без труда. На сегодня самые известные и распространенные шифры — это AES и Blowfish, их можно встретить в большинстве VPN. Кроме того, для шифрования и дешифровки используется RSA, тогда как SHA-1 и SHA-2 применяются при аутентификации и хэшировании.

Однако, наиболее безопасным шифром для VPN считается AES, особенно характерно то, что именно этим шифрованием пользуется правительство США. Тем не менее, есть определенные причины сомневаться в надежности этого шифра.

Национальный институт стандартов и технологии (НИСТ)

SHA-1, SHA-2, RSA и AES — все они сертифицированы Национальным институтом стандартов и технологии США, который тесно сотрудничает с Агентством национальной безопасности в разработке шифров. Однако теперь мы знаем, что власти и спецслужбы США пытаются намеренно ослабить алгоритмы шифрования или внедрить уязвимости, так что возникает вопрос, настолько ли честна работа НИСТ.

Конечно же, сам Институт отрицает, что существуют какие-либо проблемы (в частности, намеренное ослабление стандартов шифрования) и пытается успокоить людей, Агентство национальной безопасности несколько раз обвиняли, например, New York Times, в том, что они вмешиваются в процесс разработки или же преднамеренно включают определенные уязвимости, призванные ослабить алгоритмы шифрования.

17 сентября 2013 года недоверие возросло еще сильнее, когда RSA Security порекомендовали своим пользователям воздержаться от использования конкретного алгоритма, содержащего уязвимости, намеренно внедренные в него Агентством национальной безопасности США.

Более того, выяснилось, что стандарт, разработанный НИСТ, Dual EC DRBG, многие годы был небезопасен. Это было отмечено Университетом технологии в Нидерландах в 2006 году. Однако, несмотря на все эти проблемы и сложности, НИСТ является лидером в индустрии, в том числе и из-за того, что соответствие стандартам НИСТ является обязательным условием для получения контракта с правительством США.

Стандарты НИСТ используются по всему миру, во всех сферах бизнеса и производства, где необходима защита личных данных, в частности, в индустрии VPN, — и эти проблемы являются значимыми для всех. Многие производители полагаются на эти стандарты и не желают признавать проблему. Единственная компания, Silent Circle, закрыла свой сервис Silent Mail, вместо того, чтобы позволить скомпрометировать его, затем они отошли от стандартов НИСТ в ноябре 2013 года.

Благодаря подобным действиям, небольшого провайдера, известного своими инновациями, LiquidVPN запустили тестирование новых алгоритмов, не связанных с НИСТ. Однако, это единственный провайдер, работающий в данном направлении, о котором нам известно. Конечно же, пока не произойдет серьезных изменений, вам нужно по полной использовать шифрование AES 256 бит, которое на сегодня является лучшим из доступных.

Попытки взлома шифрования RSA Key Агентством национальной безопасности США

Эдвард Сноуден рассказал также о том, что была разработана новая программа «Cheesy Name», направленная на определение клчей шифрования, которые могут быть взломаны суперкомпьютерами в Штабе правительственной связи. Оказывается, что сертификаты, защищенные 1024-битным шифрованием, слабее, чем предполагалось, их можно достаточно быстро дешифровать, намного бытрее, чем ожидалось. После того, как шифр будет взломан, это коснется всех пользователей, так как можно будет дешифровать все данные.

Вследствие этого, будут взломаны системы шифрования, основанные на подобных ключах, в том числе и TLS и SSL. Это очень сильно повлияет на трафик HTTPS. Однако, есть и хорошие новости. OpenVPN это не коснется, так как протокол меняет временные ключи шифрования. Почему? Для каждого обмена данными генерируется новый ключ.

Даже если кто-то получил ключ к сертификату, дешифровать все данные невозможно. При атаке «человек посередине» (MitM) возможно взломать соединение OpenVPN, однако нужно получить доступ к ключу. С момента, как стало известно об уязвимостях в 1024-битном шифровании, многие провайдеры перешли на 2048- или даже 4096-бит.

Совершенная прямая секретность

Хорошие новости — есть решение даже этих проблем, в том числе и для соединения TLS и SSL, если сайты используют системы прямой секретности, в которых для каждой сессии генерируется уникальный новый ключ. К сожалению, единственная компания, применяющая механизм совершенной прямой секретности — это Google.

В завершение этой статьи хотелось бы напомнить слова Эдварда Сноудена, — шифрование работает и системы шифрования будут улучшены, чтобы повысить безопасность. Что же вы можете вынести из этой статьи? Очень просто! Самый безопасный протокол VPN — это OpenVPN, соответственно провайдерам нужно расширять сферу его применения. Было бы неплохо, если бы они начали отходить от стандартов НИСТ, однако этого придется подождать.

• PPTP — очень небезопасный протокол. Его взломали спецслужбы и даже Microsoft отказались от его поддержки, так что на сегодня следует его избегать. И хотя вас может привлечь удобство настройки или кросс-платформенная совместимость, помните, что практически те же преимущества предлагает L2TP/IPSec, однако у него еще и более высокий уровень защиты.
• Если речь не идет о действительно важных данных, L2TP/IPSec — это то, что вам нужно, хотя этот протокол и ослаблен и скомпрометирован. Однако, если вы ищете быстрый и удобный в настройке VPN, который не требует установки дополнительного ПО, он прекрасно подойдет, особенно с учетом того, что VPN для мобильных устройств поддерживается не лучшим образом.
• Несмотря на то, что вам нужно будет устанавливать сторонние приложения, OpenVPN — лучший протокол в любом случае. Он работает быстро, надежно, и, хотя его настройка может занять немало времени, она того стоит.
• IKEv2 тоже работает быстро и безопасно, и если он используется в сочетании с другими средствами обеспечения безопасности, он может прекрасно подойти для пользователей мобильных устройств, в частности благодаря автоматическому возобновлению подключения. Кроме того, это один из немногих протоколов с поддержкой устройств Blackberry.
• SSTP предлагает практически те же преимущества, что и OpenVPN, однако он работает только на платформе Windows. С другой стороны, он куда лучше совместим с этой системой, чем другие протоколы. Однако, поддержка провайдеров ограничена, во-первых, из-за поддержки систем, во-вторых, из-за того, что компания Microsoft известна давним сотрудничеством с Агентством национальной безопасности, так что мы бы не советовали доверять этому протоколу.

Если кратко, при возможности используйте OpenVPN, для мобильных устройств подойдет IKEv2. L2TP — этого протокола достаточно для быстрых решений, однако с учетом расширения поддержки OpenVPN для разных устройств, мы рекомендуем его в любой ситуации.

VPN (также известная как виртуальная частная сеть) — это технология, обеспечивающая частное и безопасное соединение между вашим компьютером и местом назначения. Службы VPN маскируют ваш IP-адрес, шифруют ваши данные и направляют их через защищенные сети на сервер, чтобы ваш интернет-трафик и данные не мог отслеживать, контролировать или атаковать кто-либо, даже ваш интернет-провайдер (ISP).

VPN не только делает вас анонимным и безопасным в Интернете, но также позволяет вам получать доступ к географически ограниченным или заблокированным веб-сайтам и избегать онлайн-цензуры. Например, если вы хотите просмотреть какой-либо контент с потокового веб-сайта (скажем, HBO Max), который недоступен в вашей стране, вы можете относительно легко использовать VPN для потоковой передачи этого сайта.

Есть два способа установить соединение с VPN-сервером — с помощью ручной настройки или прямого подключения из собственного приложения VPN. Но если вы не хотите устанавливать еще одно приложение на свой ПК с Windows 11 и загромождать его, вместо этого вы можете настроить подключение вручную.

В этой статье мы покажем вам различные способы ручной настройки, подключения, отключения и удаления VPN-подключения в Windows 11. Начнем!

Если вы не хотите использовать приложение, предоставленное поставщиком услуг VPN, вы можете вручную настроить VPN непосредственно в настройках Windows 11. Чтобы вручную настроить VPN-подключение в Windows 11, выполните следующие действия:

Для начала откройте настройки Windows 11, щелкнув правой кнопкой мыши меню «Пуск» и выбрав «Настройки» или нажав сочетание клавиш Win+.I

В приложении «Настройки» выберите вкладку «Сеть и Интернет» на левой боковой панели и щелкните плитку «VPN» на правой панели.

На странице настроек VPN нажмите кнопку «Добавить VPN» справа от плитки VPN-подключений.

После этого вы увидите всплывающее окно «Добавить VPN-подключение», в котором вам нужно настроить параметры VPN. У каждого провайдера VPN есть настройки конфигурации и протоколы, специфичные для его службы, поэтому вам следует применять настройки в соответствии с услугой VPN, на которую вы подписаны.

Поставщик VPN: здесь убедитесь, что в раскрывающемся меню поставщика VPN выбран параметр «Windows (встроенный)».

Имя подключения. В поле «Имя подключения» введите имя вашего VPN-подключения. Это может быть все, что вы хотите, что-то, что позволяет вам идентифицировать связь.

Имя или адрес сервера: введите имя или адрес сервера в поле «Имя или адрес сервера», чтобы подключиться к конкретному серверу, например, uk1094.norvpn.com или 132.122.102.022. Обычно это предоставляется службой VPN, на которую вы подписаны. Если он не указан, вы можете легко найти имя сервера или адрес сервера на веб-сайте вашего провайдера VPN.

Тип VPN. В раскрывающемся списке «Тип VPN» выберите протокол VPN, необходимый для подключения к конкретному VPN-серверу. Большинство VPN-серверов используют протокол L2TP/IPsec, но сервер, к которому вы подключаетесь, может иметь другую конфигурацию. Если это не указано вашим поставщиком услуг, вы можете просто выбрать «Автоматически».

Вот список всех протоколов VPN, поддерживаемых Windows 11.

• IKEv2
• Протокол безопасного туннелирования сокетов (SSTP)
• L2TP/IPsec с сертификатом
• L2TP/IPsec с предварительным общим ключом
• Туннельный протокол точка-точка (PPTP)

Если вы выбрали протокол «L2TP/IPsec с предварительным общим ключом», вы можете увидеть другое поле, в которое необходимо ввести «Предварительный общий ключ».

Тип данных для входа. Затем в раскрывающемся меню «Тип данных для входа» выберите метод аутентификации. Большинство VPN-сервисов используют имя пользователя и пароль для аутентификации соединения. Но некоторые поставщики услуг VPN предлагают смарт-карту, одноразовый пароль или сертификат.

Имя пользователя и пароль: Если вы выбрали метод аутентификации по имени пользователя и паролю, вам необходимо ввести имя пользователя и пароль в поля ниже. Вы можете найти учетные данные на веб-сайте поставщика услуг VPN.

Если вы используете бесплатное соединение без имени пользователя и пароля, вы можете просто оставить эти поля пустыми. Однако, если вы оставите эти поля пустыми, когда у вас есть учетные данные, вам будет предложено вводить их каждый раз, когда вы подключаетесь к службе VPN.

Наконец, установите флажок «Запомнить мою информацию для входа», если вы хотите, чтобы Windows запоминала ваши учетные данные для входа. Затем нажмите кнопку «Сохранить», чтобы сохранить ручные настройки VPN.

После выполнения вышеуказанных шагов будет создано и сохранено новое VPN-подключение.

Установите цифровые сертификаты для IKEv2 или L2TP/IPsec VPN-подключения

При настройке VPN-подключения типа IKEv2 или L2TP/IPsec может потребоваться сначала загрузить и установить цифровой сертификат. Вот как вы можете установить цифровые сертификаты для подключения к VPN-серверу на вашем устройстве с Windows 11:

Сначала перейдите к своему поставщику услуг VPN и загрузите соответствующий цифровой сертификат. После загрузки дважды щелкните по нему и нажмите «Открыть».

В следующем диалоговом окне нажмите «Установить сертификат…» на вкладке «Общие».

Когда появится мастер импорта сертификатов, выберите «Локальный компьютер», если вы хотите сохранить сертификат на локальном компьютере, или выберите «Текущий пользователь», если вы хотите сохранить сертификаты для текущей учетной записи пользователя.

Windows автоматически определяет место хранения сертификата. Однако, если вы хотите указать место для сертификата, выберите параметр «Поместить все сертификаты в следующее хранилище» и нажмите кнопку «Обзор».

Затем выберите «Доверенные корневые центры сертификации» в диалоговом окне и нажмите «ОК».

Наконец, нажмите кнопку «Готово», чтобы импортировать сертификаты.

Во всплывающем окне подтверждения мастера импорта сертификатов нажмите «ОК».

Теперь вам нужно отредактировать сертификат в диспетчере сертификатов. Для этого нажмите Win+, Rчтобы открыть команду «Выполнить». Затем введите certmgr.msc текстовое поле и нажмите Enter, чтобы запустить инструмент управления сертификатами.

Когда откроется инструмент управления сертификатами, перейдите в раздел «Доверенные корневые центры сертификации» на левой панели и нажмите «Сертификаты» под ним.

После этого прокрутите список вниз и щелкните правой кнопкой мыши импортированный сертификат, а затем выберите «Свойства».

Затем установите флажок «Включить только для следующих целей» на вкладке «Общие». Затем снимите все цели в поле, кроме «Аутентификация сервера». Наконец, нажмите «Применить», а затем «ОК».

Настройка VPN-подключения из Центра управления сетями и общим доступом

Другой способ настроить VPN-подключение в Windows 11 — через Центр общего доступа к сети в Панели управления. Однако для этого метода может потребоваться еще несколько шагов для настройки VPN-подключения. Вот как вы можете настроить VPN-подключение из Центра управления сетями и общим доступом:

Сначала нажмите кнопку «Пуск» или значок поиска на рабочем столе, введите «Панель управления» в поле поиска и выберите лучший результат.

Если настройки панели управления отображаются в виде категорий, выберите «Сеть и Интернет». В качестве альтернативы, если настройки панели управления отображаются в виде больших или маленьких значков, нажмите «Центр управления сетями и общим доступом».

В следующем окне нажмите «Центр управления сетями и общим доступом» на правой панели.

В Центре управления сетями и общим доступом нажмите «Настроить новое подключение или сеть» в разделе «Выберите параметры сети».

В окне «Настройка подключения» или «Сеть» выберите вариант подключения «Подключиться к рабочему месту» и нажмите «Далее».

Если вы уже создали VPN-подключение, оно будет указано здесь. Здесь выберите вариант «Нет, создать новое подключение» и нажмите «Далее». Если у вас нет существующего подключения, вы сразу перейдете к следующему шагу, не показывая этот шаг.

В следующем окне нажмите «Использовать мое подключение к Интернету (VPN)».

Затем введите доменное имя или адрес VPN в поле «Внутренний адрес», чтобы подключиться к определенному серверу. Затем укажите имя получателя в следующем поле и нажмите «Создать».

Затем вы вернетесь в «Центр управления сетями и общим доступом». Здесь нажмите «Изменить настройки адаптера» в левом меню.

В окне «Сетевые подключения» вы увидите на экране добавленный VPN-адаптер, как показано ниже. Теперь щелкните правой кнопкой мыши адаптер VPN и выберите «Свойства».

Когда откроется диалоговое окно «Свойства VPN-подключения», перейдите на вкладку «Безопасность». В раскрывающемся меню «Тип VPN» выберите вариант протокола VPN.

Затем используйте раскрывающийся список «Шифрование данных», чтобы выбрать метод шифрования данных. Обычно для него установлено значение «Требовать шифрование (отключиться, если сервер отказывается)» или «Необязательное шифрование (подключиться, даже если шифрование отсутствует)». Если вы не хотите шифровать данные, выберите «Шифрование запрещено».

После этого выберите метод аутентификации в разделе «Аутентификация». Обычно вам нужно выбрать «Разрешить эти протоколы». Если вы выберете этот метод, убедитесь, что отмечены следующие параметры, а затем нажмите «ОК».

• Протокол проверки подлинности с вызовом рукопожатия (CHAP)
• Microsoft CHAP версии 2 (MS-CHAP v2)

После этого перейдите на вкладку «Сеть», выберите Интернет-протокол версии 4 (TCP/IPv4) и нажмите кнопку «Свойства» ниже.

В окне свойств Интернет-протокола версии 4 (TCP/IPv4) убедитесь, что выбраны параметры «Получить IP-адрес автоматически» и «Получить адрес DNS-сервера автоматически». Затем нажмите кнопку «Дополнительно».

В диалоговом окне «Дополнительные параметры TCP/IP» убедитесь, что на вкладке «Параметры IP» установлен флажок «Использовать шлюз по умолчанию в удаленной сети».

Однако, если вы не хотите разрешать веб-трафик через VPN-соединение, которое может замедлить работу Интернета, снимите этот флажок и, наконец, нажмите «ОК».

Теперь вы успешно настроили VPN в Windows 11, и она доступна для подключения.

Подключитесь к VPN-серверу в Windows 11.

После того, как вы настроите VPN-подключение через настройки или панель управления, вы сможете подключиться к сети VPN из панели быстрых настроек, приложения настроек или панели управления. VPN-сервер — это физический или виртуальный сервер, на котором размещаются и предоставляются услуги VPN, такие как шифрование данных, защита конфиденциальности и т. д. Вот как вы можете подключиться к VPN-серверу:

Откройте меню «Пуск» и нажмите «Настройки».

На левой боковой панели настроек перейдите в «Сеть и Интернет» и нажмите «VPN» справа.

Здесь будут перечислены все созданные вами VPN-подключения. Нажмите кнопку «Подключиться» рядом с профилем VPN, который вы хотите использовать.

После нажатия кнопки подключения ваш компьютер подключится к VPN-серверу и позволит вам просматривать анонимно и безопасно.

Изменить VPN-подключение

После создания VPN-подключения вы можете изменить конфигурацию VPN в любое время. Для этого нажмите стрелку вниз рядом с кнопкой «Подключиться».

В появившейся кнопке нажмите «Дополнительные параметры».

Затем нажмите кнопку «Изменить», чтобы изменить свойства VPN-подключения.

Подключиться с панели задач/быстрых настроек

Windows 11 также позволяет подключаться к службе VPN напрямую из быстрых настроек.

Чтобы установить VPN-соединение с панели задач, нажмите комбинированную кнопку аккумулятора, сети и значка громкости в углу панели задач, чтобы открыть быстрые настройки (или нажмите Win+ A)

После настройки VPN-подключения кнопка переключения VPN появится в быстрых настройках. Теперь нажмите кнопку «VPN» в быстрых настройках.

Это откроет список различных профилей VPN, которые вы добавили. Нажмите на VPN-подключение, которое вы хотите использовать, и выберите «Подключиться».

Как только вы это сделаете, ваш компьютер пройдет аутентификацию и подключится к VPN-серверу.

Чтобы проверить, работает ли VPN, вы можете выполнить поиск «Какой у меня IP-адрес?». в желаемой поисковой системе, и он должен показывать IP-адрес VPN вместо вашего фактического общедоступного IP-адреса.

Отключить VPN-подключение в Windows 11

Когда вы закончите анонимный просмотр, вы можете отключить VPN-соединение, чтобы просматривать сайты в обычном режиме.

Чтобы отключить VPN-подключение через настройки, откройте «Настройки», перейдите в «Сеть и Интернет» на левой боковой панели и выберите «VPN» справа.

На странице VPN нажмите кнопку «Отключить» рядом с используемым профилем VPN.

Чтобы отключить VPN от панели задач, щелкните значок сети (аккумулятор, сеть или значок громкости) на панели задач, а затем нажмите кнопку/плитку «VPN». Затем выберите VPN-подключение и нажмите кнопку «Отключить».

Удалить VPN-подключение

Если вам больше не нужно VPN-подключение, вы можете удалить профиль VPN с устройства. Чтобы удалить VPN-подключение, выполните следующие действия:

Откройте приложение «Настройки», нажмите «Сеть и Интернет», а затем выберите параметр VPN с правой стороны. Затем нажмите на профиль, чтобы получить доступ к его настройкам. После этого нажмите кнопку «Удалить».

Это удалит профиль VPN с вашего компьютера.

Как поделиться VPN-подключением в Windows 11

Некоторые устройства, такие как игровые приставки и смарт-телевизоры, не поддерживают VPN. Однако вы можете легко поделиться своим VPN-подключением Windows с этими устройствами, чтобы защитить свою интернет-безопасность и конфиденциальность. Вот как это сделать:

Сначала откройте настройки Windows, нажав Win+ I. Затем перейдите в раздел «Сеть и Интернет» и нажмите на плитку «Мобильный хост» справа.

Затем нажмите переключатель «Мобильная точка доступа», чтобы включить его. Затем убедитесь, что для параметров «Поделиться моим интернет-соединением» и «Поделиться через» установлено значение Wi-Fi.

После этого нажмите на опцию «Свойства» ниже, чтобы просмотреть свойства сети.

Затем запишите имя и пароль точки доступа, к которой вам нужно подключить другие устройства. К точке доступа Windows 11 можно подключить до 8 устройств.

Точку доступа и пароль Windows 11 по умолчанию немного сложно запомнить. Если вы хотите изменить имя и пароль точки доступа на то, что вы можете запомнить и легко ввести, вы можете нажать кнопку «Изменить».

После изменения имени сети и пароля нажмите «Сохранить».

После включения точки доступа вам необходимо изменить свойства вашего VPN-адаптера, чтобы предоставить общий доступ к VPN-соединению. Для этого откройте Панель управления и выберите категорию «Сеть и Интернет».

Затем нажмите «Центр управления сетями и общим доступом».

Нажмите «Изменить настройки адаптера» в Центре управления сетями и общим доступом на левой боковой панели.

Кроме того, вы можете просто ввести «Просмотр сетевых подключений» в поиске Windows и выбрать лучший результат.

В списке сетевых адаптеров найдите только что созданную сеть точек доступа, которая обычно называется «Подключение по локальной сети*…».

После этого щелкните правой кнопкой мыши сетевой адаптер VPN и выберите «Свойства».

В диалоговом окне «Свойства» перейдите на вкладку «Общий доступ» и установите флажок «Разрешить другим пользователям сети подключаться через Интернет-соединение этого компьютера». Затем снимите флажок «Разрешить другим пользователям сети контролировать или отключать общее подключение к Интернету».

После этого выберите только что созданную сеть точек доступа в раскрывающемся списке и нажмите кнопку «ОК».

После выполнения вышеуказанных шагов подключите свой ПК с Windows к VPN. Затем подключите другое устройство, например Smart TV, к сети точки доступа Windows. Теперь ваше устройство подключено к VPN, и весь веб-трафик устройства будет направляться через тот же VPN-сервер, к которому подключен ваш компьютер.

Настройка VPN-подключения с помощью OpenVPN

OpenVPN — это новый протокол VPN (виртуальная частная сеть), который в настоящее время широко поддерживается многими поставщиками услуг VPN. Это протокол VPN с открытым исходным кодом, который позволяет вам установить безопасную сеть и обеспечить удаленный доступ в Интернет. OpenVPN — это быстрый и безопасный VPN-протокол, который можно использовать для настройки различных портов и типов шифрования.

Windows 11 по умолчанию не поддерживает протокол OpenVPN, поэтому вам необходимо вручную установить протокол на свое устройство. Вот как вы можете установить протокол OpenVPN через графический интерфейс OpenVPN:

Сначала посетите страницу загрузки OpenVPN и загрузите версию OpenVPN, подходящую для вашего устройства (обычно это 64-разрядный установщик MSI для Windows).

Затем дважды щелкните загруженный файл, чтобы открыть его. Когда установщик запустится, нажмите «Установить сейчас». Вы также можете нажать кнопку «Настроить» для выборочной установки.

После завершения установки нажмите «Закрыть».

Далее вам нужно добавить файлы конфигурации сервера в OpenVPN. Для этого вы можете войти в свою учетную запись VPN на веб-сайте службы VPN и загрузить файлы конфигурации.

Большинство веб-сайтов VPN предоставляют вам файлы конфигурации, которые позволяют настроить OpenVPN на вашем компьютере для подключения нужных серверов VPN при использовании стороннего приложения VPN или настройке VPN-подключения на маршрутизаторе. Обычно вы можете найти эти файлы конфигурации в разделе файлов конфигурации OpenVPN на вашем веб-сайте VPN.

После загрузки файла конфигурации сервера перейдите на рабочий стол, затем щелкните правой кнопкой мыши ярлык «OpenVPN GUI» на рабочем столе и выберите «Открыть местоположение файла».

Кроме того, вы также можете выполнить поиск «OpenVPN GUI» в поиске Windows и выбрать результат поиска «Открыть местоположение файла».

Когда откроется проводник Windows, нажмите «OpenVPN» на панели навигации вверху или нажмите кнопку со стрелкой вверх перед панелью навигации, чтобы перейти в основную папку.

Затем дважды щелкните папку «config», чтобы открыть ее.

Затем скопируйте файлы конфигурации загрузки и вставьте их в эту папку (config).

Теперь вам нужно включить защиту от утечки DNS, отредактировав файл конфигурации.

Для этого щелкните правой кнопкой мыши файл конфигурации OpenVPN в папке конфигурации. Перейдите к опции «Открыть с помощью» и выберите «Выбрать другое приложение» в подменю.

Затем выберите параметр «Другие приложения» в разделе «Как вы хотите открыть этот файл?» чат.

Прокрутите список приложений и выберите «Блокнот» или любой другой текстовый редактор.

Когда файл откроется в Блокноте, прокрутите текст до конца и вставьте этот код:

block-outside-dns

Убедитесь, что ничего не изменилось в документе.

Затем сохраните файл, щелкнув меню «Файл» и выбрав «Сохранить». А потом закрыть редактор.

В случае, если вы видите приведенную ниже ошибку о том, что у вас нет разрешения на открытие этого файла, вы можете просто отредактировать файл в другом месте и скопировать его в папку конфигурации.

Теперь вы можете установить VPN-подключение к VPN-серверу через OpenGUI.

Проверьте, запущено ли приложение OpenGUI на панели задач, если нет, дважды щелкните ярлык OpenVPN GUI на рабочем столе, чтобы запустить его.

Затем щелкните правой кнопкой мыши значок OpenVPN на панели задач, выберите сервер и нажмите «Подключиться».

Затем получите имя пользователя и пароль для ручной настройки на веб-сайте поставщика услуг VPN. Теперь введите имя пользователя и пароль в графическом интерфейсе OpenVPN, затем нажмите «ОК».

OpenGUI установит удаленное соединение с сервером VPN. Как только соединение будет установлено, вы увидите уведомление в правом нижнем углу экрана.

Если вы хотите отключиться, щелкните правой кнопкой мыши значок приложения, наведите указатель мыши на подключенный сервер и нажмите «Отключить».

Вот об этом. Теперь вы знаете все о настройке VPN вручную в Windows 11. Хотя это может занять много времени, если вы абсолютно уверены, что вам не нужно другое приложение на вашем ПК, это отличная альтернатива.