Типи VPN-з'єднань в Keenetic

VPN (Virtual Private Network; виртуальная частная сеть) — узагальнена назва технологій, що дозволяють забезпечити одне або кілька мережевих з'єднань (тунелів) поверх іншої мережі (наприклад, Інтернет).

Існує багато причин використання віртуальних приватних мереж. Найбільш типові з них – безпека та конфіденційність даних. З використанням засобів захисту даних у віртуальних приватних мережах гарантується конфіденційність даних користувача.

Відомо, що мережі, що використовують протокол IP (Internet Protocol), мають "слабке місце", обумовлене структурою протоколу. Він не має засобів захисту даних і не може гарантувати, що відправник є саме тим, за кого себе видає. Дані мережі, що використовує протокол IP, можуть бути легко підроблені або перехоплені.

Якщо ви з Інтернету підключаєтеся до власного домашнього сервера, файлів USB-накопичувача, підключеного до роутера, відеореєстратора або за протоколом RDP до робочого стола комп'ютера, рекомендуємо використовувати з'єднання VPN. У цьому випадку можна буде не хвилюватися про безпеку даних, що передаються, т.к. З'єднання VPN між клієнтом і сервером, як правило, зашифровано.

Інтернет-центри Keenetic підтримують такі типи VPN-з'єднань:

  • PPTP/SSTP
  • L2TP over IPSec (L2TP/IPSec)
  • WireGuard
  • OpenVPN
  • IPSec
  • IKEv2
  • GRE/IPIP/EoIP
  • IPSec Xauth PSK (Virtual IP)

За допомогою інтернет-центру Keenetic ваша домашня мережа може бути підключена через VPN до публічного VPN-сервісу, мережі офісу або іншого інтернет-центру Keenetic за будь-якого способу доступу до Інтернету.

У всіх моделях Keenetic реалізовані як VPN клієнти/сервери для безпечного доступу: PPTP, L2TP over IPSec, IKEv2, Wireguard, OpenVPN, SSTP, так і тунелі для об'єднання мереж: Site-to-Site IPSec, EoIP (Ethernet over IP), GRE , IPIP (IP over IP).

Залежно від протоколів і призначення, що застосовуються, VPN може забезпечувати з'єднання різних сценаріїв: хост-хост, хост-мережа, хости-мережа, клієнт-сервер, клієнти-сервер, роутер-роутер, роутери-роутер (vpn concentrator), мережа-мережа (site-to-site).

Якщо ви не знаєте, який тип VPN вибрати, наведені нижче таблиці та рекомендації допоможуть у цьому.

Тип VPN Клієнт Сервер Апаратне прискорення * Кількість одночасних підключень
PPTP + + - Клієнт: до 128
Сервер: до 100/150/200 в залежності від моделі **
SSTP + + -
L2TP over IPSec + + + Клієнт: до 128
Сервер: обмеження відсутнє
WireGuard + + - до 32 ***
IPSec + + + обмеження відсутнє ****
IKEv2 + + + до 32
GRE/IPIP/EoIP + + - до 128 
OpenVPN + + - до 32 (до 128 для Peak)
IPSec Xauth PSK - + + до 32
Таблиця 1.

* — для моделей Runner 4G, Start, 4G, Lite, Omni, City, Air, Extra використовується прискорення лише роботи алгоритму AES, а у моделях Viva, Ultra, Giga, Giant, Hero 4G, DUO, DSL, Peak використовується апаратне прискорення всього протоколу IPSec

** — до 200 для Peak, Giant, Giga та Ultra; до 150 для DSL та Duo; до 100 для Start, 4G, Lite, Omni, City, Air, Extra та Zyxel Keenetic Air, Extra II, Start II, Lite III Rev.B, 4G III Rev.B.

*** — з версії KeeneticOS 3.7 буде збільшено кількість підключень WireGuard для Peak до 128 і Giga, Ultra, Viva, Hero 4G, Giant і Speedster до 48.

**** — До версії KeeneticOS 3.3 обмеження становило до 10 підключень для Giga, Ultra і до 5 для всіх інших моделей.

NOTE: Важливо! Для моделей Keenetic з індексом KN-1110, 1210, 1310, 1410, 1510, 1610, 1710, 1810, 1910 число клієнтських підключень обмежується виділеним службовим розміром розділу пам'яті об'ємом 24 Кбайта для зберігання VPN. Особливо це актуально для OpenVPN з'єднань, т.к. сумарний обсяг їх змін має перевищувати 24 Кбайта.

Тип VPN Рівень складності Рівень захисту даних Швидкість** Ресурсоємність Інтеграція в ОС
PPTP для звичайних користувачів низький середня, висока без MPPE низька Windows, macOS, Linux, Android, iOS (до версии 9 вкл.)
SSTP для звичайних користувачів високий середня, низька при роботі через хмару середня Windows
L2TP over IPSec для звичайних користувачів високий висока, середня на молодших моделях висока Windows, macOS, Linux, Android, iOS
WireGuard для досвідчених користувачів дуже високий висока низька відсутня*
IPSec для професіоналів дуже високий висока висока Windows, macOS, Linux, Android, iOS
IKEv2 для звичайних користувачів високий висока висока Windows, macOS, Linux, iOS
OpenVPN для досвідчених користувачів дуже високий низька дуже висока відсутня* 
IPSec Xauth PSK для звичайних користувачів високий висока висока Android, iOS
Таблиця 2.

* — для організації підключення знадобиться встановити додаткове безкоштовне програмне забезпечення в операційних системах Windows, macOS, Linux, Android, iOS.

** — представлені відносні величини, а не конкретні цифри, т.я. швидкості для VPN-підключень залежать від моделей і цілого ряду факторів - типу алгоритмів шифрування, що використовуються, кількості одночасних підключень, типу підключення до Інтернету і швидкості інтернет-каналу, від завантаження інтернет-каналу, навантаження на сервер та інших факторів. Низькою називатимемо швидкість до 15 Мбіт/с, середньою в районі 30 - 50 Мбіт/с і високою - понад 70 Мбіт/с.

TIP: Довідка: Отримати максимальну швидкість VPN-підключення можна в моделі Keenetic Peak (KN-2710). Дана високопродуктивна модель завдяки енергоефективному 2-ядерному ARM-процесору Cortex-A53 1,35 ГГц і збільшеному об'єму оперативної пам'яті піднімає пікову швидкість ресурсомістких VPN-протоколів OpenVPN, SSTP і IPsec до 150-200 Мбіт/с. Наприклад наведемо цифри максимальних швидкостей для різних типів VPN, отримані в нашій тестовій лабораторії: Wireguard - 450 Мбіт/с; IPsec - 220 Мбіт/с; L2TP/IPsec - 160 Мбіт/с; SSTP (в режимі "Прямий доступ") - 110 Мбіт/с; OpenVPN - 200 Мбіт/с; PPTP (з MPPE) – понад 500 Мбіт/с.

Тип VPN Плюси Мінуси
PPTP популярність, широка сумісність із клієнтами невисокий рівень захисту даних у порівнянні з іншими протоколами VPN
SSTP можливість роботи VPN-сервера за наявності "сірого" IP для доступу до Інтернету *, використання протоколу HTTPS (TCP/443) вбудований клієнт тільки в Windows, низька швидкість передачі даних при роботі через хмару
L2TP over IPSec безпека, стабільність, широка сумісність із клієнтами, просте налаштування використовуються стандартні порти, що дозволяє провайдеру або системному адміністратору заблокувати трафік
WireGuard сучасні протоколи безпеки даних, низька ресурсомісткість, висока швидкість передачі даних не входить до складу сучасних ОС, розробка є експериментальною і може виявлятися нестабільність
IPSec надійність, дуже високий рівень захисту даних складність налаштування для звичайних користувачів
IKEv2 надійність, високий рівень захисту даних, просте налаштування, підтримка на пристроях Blackberry не входить до складу Android (для підключення потрібно використовувати додаткове безкоштовне ПЗ), використовуються стандартні порти, що дозволяє провайдеру або адміністратору блокувати трафік
OpenVPN високий рівень захисту даних, використання протоколу HTTPS (TCP/443) не входить до складу сучасних ОС, дуже ресурсомісткий, невисокі швидкості передачі даних
IPSec Xauth PSK безпека, що входить до складу сучасних мобільних ОС відсутність підтримки клієнтів у ОС для ПК
Таблиця 3.

* — дана можливість реалізована на нашому хмарному сервері як спеціальне програмне розширення та доступна лише користувачам інтернет-центрів Keenetic.

Для звичайних користувачів для використання віддалених підключень клієнти-сервер ми рекомендуємо:

  • L2TP over IPSec (L2TP/IPSec), PPTP, IKEv2, IPSec Xauth PSK, SSTP

У ряді моделей Keenetic передача даних IPSec (у тому числі L2TP over IPSec і IKEv2) прискорюється апаратно за допомогою процесора пристрою, що забезпечує високі швидкості передачі даних. У такому тунелі можна абсолютно не хвилюватися про конфіденційність IP-телефонії або потоків відеоспостереження.

Якщо провайдер видає вам публічну IP-адресу, рекомендуємо звернути увагу на сервери IKEv2, L2TP over IPSec і так званий віртуальний сервер IPSec (Xauth PSK). Вони чудові тим, що забезпечують абсолютно захищений доступ до домашньої мережі зі смартфона, планшета або комп'ютера з мінімальним налаштуванням: у Android, iOS та Windows для цих типів VPN є зручні вбудовані клієнти. Для IKEv2 в ОС Android використовуйте безкоштовний популярний VPN-клієнт strongSwan.

Як найоптимальніший універсальний варіант можна вважати L2TP/IPSec. Якщо ж інтернет-провайдер надає вам лише приватну "сіру" IP-адресу для роботи в Інтернеті, і немає можливості отримати публічну IP, ви все одно зможете організувати віддалений доступ до своєї домашньої мережі, використовуючи VPN-сервер SSTP. Основною перевагою тунелю SSTP є здатність працювати через хмару, тобто, він дозволяє встановити підключення між клієнтом та сервером, навіть за наявності "сірих" IP-адрес з обох сторін. Решта VPN-серверів вимагають наявності публічної "білої" IP-адреси. Звертаємо вашу увагу, що дана можливість реалізована на нашому хмарному сервері і доступна тільки для користувачів Keenetic.
Що стосується тунельного протоколу PPTP, він найбільш простий та зручний у налаштуванні, але потенційно вразливий, у порівнянні з іншими типами VPN. Проте краще використовувати його, ніж не застосовувати VPN зовсім.

Для досвідчених користувачів до цього списку можна додати:

  • WireGuard, OpenVPN

OpenVPN дуже популярний, але надзвичайно ресурсомісткий і не має особливих переваг проти IPSec. В інтернет-центрі Keenetic для підключення OpenVPN реалізовані такі можливості як режим TCP та UDP, автентифікація TLS, використання сертифікатів та ключів шифрування для підвищення безпеки VPN-підключення.

Сучасний протокол WireGuard зробить роботу з VPN простіше та швидше (у кілька разів у порівнянні з OpenVPN) без нарощування потужності заліза у пристрої.

Для об'єднання мереж та організації Site-to-Site VPN використовуйте:

  • IPSec, L2TP over IP (L2TP/IPSec), WireGuard

Для вирішення спеціалізованих завдань щодо об'єднання мереж:

  • EoIP, GRE, IPIP

IPSec є одним із найбезпечніших протоколів VPN за рахунок використання криптостійких алгоритмів шифрування. Він є ідеальним варіантом для створення підключень типу Site-to-Site VPN для об'єднання мереж. Крім цього, для професіоналів і досвідчених користувачів є можливість створювати тунелі IPIP, GRE, EoIP як у простому вигляді, так і в поєднанні з тунелем IPSec, що дозволить використовувати для захисту цих тунелів стандарти безпеки IPSec VPN. Підтримка тунелів IPIP, GRE, EoIP дозволяє встановити VPN-з'єднання з апаратними шлюзами, Linux-маршрутизаторами, комп'ютерами та серверами з ОС UNIX/Linux, а також з іншим мережним та телекомунікаційним обладнанням, що мають підтримку зазначених тунелів. Налаштування тунелів цього типу доступне лише в інтерфейсі командного рядка (CLI) інтернет-центру.

Додаткову інформацію щодо налаштування різних типів VPN в інтернет-центрах Keenetic ви знайдете в інструкціях:



Чи була ця стаття корисною?

54 з 55 вважають статтю корисною

Маєте ще запитання? Надіслати запит