Reti VPN: разница между PPTP, L2TP IPSec и OpenVPN

Сеть VPN позволяет вам установить безопасное соединение между системами, которые используют самый небезопасный инструмент для обмена данными: Интернет.

Различные системы, которые удаленно подключаются к VPN-серверу, независимо от их физического местоположения, могут стать частью локальной сети даже за тысячи километров: например, можно получить доступ к общим ресурсам в локальной сети, как если бы используемое устройство было частью локальной сети.

Для обмена данными с удаленной локальной сетью создается виртуальный туннель, внутри которого все пакеты данных шифруются, чтобы их нельзя было отследить или перехватить третьими лицами.

PPTP, L2TP / IPSec, SSTP, IKEv2 и OpenVPN — это протоколы для поддержки сетей VPN, которые позволяют вам безопасно удаленно получать доступ к корпоративным сетям (а также к локальным сетям малых предприятий и профессиональных офисов) через Интернет.

В этой статье мы стремимся пролить свет на слабые и сильные стороны каждого протокола, выделив основные различия между PPTP, L2TP IPSec и OpenVPN. Таким образом, прежде чем приступить к настройке сети VPN, вы можете выбрать протокол, который лучше всего соответствует вашим потребностям.

Некоторые поставщики услуг VPN (см. также статью Как, когда и зачем использовать VPN-соединение) также предлагают время от времени выбирать, какие протоколы использовать для соединения. На самом деле, можно как настроить VPN-сервер в своей корпоративной или домашней сети, так и подключиться к VPN-серверу, управляемому третьими лицами, если целью является защита данных, которыми обмениваются в сети, преодоление любых географических ограничений и ускорение. производительность некоторых потоковых сервисов.

На рисунке показан пример ExpressVPN, VPN-сервиса, который также позволяет вам выбирать протокол для использования.

РРТР

Протокол PPTP до недавнего времени чаще всего использовался для установления VPN-соединений, но он также является наименее безопасным из всех.

Разработанный Microsoft протокол PPTP поддерживает криптографические ключи длиной до 128 бит. Шифрование данных выполняется с использованием протокола Microsoft Point to Point Encryption.

Чтобы установить VPN-соединение с помощью PPTP, вам нужно только использовать имя пользователя, пароль и адрес VPN-сервера.

Это наименее безопасный вариант, который следует выбирать при принятии решения об активации VPN, и на самом деле его всегда следует избегать, несмотря на широкую поддержку всеми версиями Windows, старыми и новыми, используемыми в различных дистрибутивах Linux, с прошивкой для DD. -WRT и маршрутизатор Tomato для iOS, Android и macOS.

Использование протокола PPTP позволяет очень просто и быстро настроить VPN-соединение. Его сильной стороной, безусловно, является совместимость с огромным количеством систем и платформ. Из-за обнаруженных уязвимостей в PPTP (см. нашу статью VPN: Microsoft подтверждает наличие уязвимостей в MS-CHAP v2 и это Брюс Шнайер), однако использование PPTP не рекомендуется для всех более опытных пользователей и, во всяком случае, для всех тех, кому приходится передавать важную информацию через VPN-туннель.

Чтобы использовать PPTP, входящий трафик на TCP-порт 1723 должен быть открыт на маршрутизаторе (и правильно переадресован) (см. также Открытие портов на маршрутизаторе и закрытие их, когда они больше не нужны).

Несколько лет назад в статье «Создание простой VPN с Windows 7 и Windows XP» мы увидели, как создать VPN из клиентской системы, такой как Windows 7, с использованием собственного PPTP.

L2TP/IPSec

L2TP, что означает туннельный протокол уровня 2, является популярным инструментом, используемым для установления VPN-соединений. Сам по себе он не обеспечивает никакой защиты, и передаваемые данные не шифруются.

По этой причине L2TP обычно используется «в тандеме» с протоколом IPSec, который вместо этого объединяет функции аутентификации IP-пакетов, шифрования и контроля идентификации.

Он поддерживает криптографические ключи длиной до 256 бит с использованием протокола IPSec, даже если их длина зависит от используемых алгоритмов. Для большей безопасности L2TP использует двойную инкапсуляцию данных.

По сравнению с PPTP и OpenVPN, L2TP немного менее эффективен, но по-прежнему хорошо поддерживается различными операционными системами. Например, L2TP совместим с Windows XP, Windows 7, Windows 8.1, Windows 10 (даже если только в режиме клиента), с iOS, Android, Linux и macOS.

L2TP в сочетании с использованием протокола IPSec обеспечивает гораздо более высокий уровень безопасности, чем PPTP.

Это считается безопасным, даже если в 2013 году были некоторые отчеты, подписанные Эдвардом Сноуденом, который говорил об IPSec как о стандарте, который теперь скомпрометирован американским агентством NSA, в то время как Джон Гилмор (эксперт по безопасности и соучредитель Electronic Frontier Foundation) даже утверждал что протокол будет содержать уязвимости, преднамеренно добавленные на этапе разработки.

Используемые порты следующие: UDP 500, UDP 1701 и UDP 4500.

SSTP

Протокол SSTP, аббревиатура от Secure Socket Tunneling Protocol, был разработан Microsoft и впервые включен в Windows с выпуском Vista.

Это проприетарный протокол (поэтому не с открытым исходным кодом), который также работает в Linux, но был разработан в первую очередь для работы в системах Windows.

Это лучше, чем L2TP, для управления конфигурациями, в которых используются брандмауэры, но в настоящее время они используются очень мало. Его производительность сравнима с OpenVPN, и он считается безопасным из-за использования шифрования AES.

IKEv2

На самом деле это не считается протоколом VPN. Разработанный Microsoft и Cisco, он предназначен для работы с мобильными соединениями через 3G и 4G/LTE благодаря своей способности быстро восстанавливать соединение, когда сигнал внезапно пропадает и возвращается позже.

Он очень быстрый, самый быстрый в списке, если исключить самый последний WireGuard, и безопасный, поскольку основан на разных уровнях AES и позволяет использовать протокол IPSec.

OpenVPN

Это самое популярное и самое безопасное приложение, позволяющее устанавливать VPN-соединения в полной безопасности: OpenVPN поддерживает ключи длиной до 256 бит.

В этом случае данные шифруются с помощью библиотеки OpenSSL и производительность выше, чем у PPTP и L2TP.

Использование OpenVPN часто не предусмотрено в «стандартных» прошивках, которыми оснащены коммерческие маршрутизаторы, даже если в последние годы ситуация значительно улучшилась. Однако вы можете включить VPN, заставив маршрутизатор выступать в качестве VPN-сервера, используя прошивку, такую ​​​​как DD-WRT или Tomato.

В статье Как настроить профессиональную сеть VPN с OpenVPN и DD-WRT мы только что объяснили, как превратить маршрутизатор в VPN-сервер OpenVPN, установив и настроив «пользовательскую прошивку» DD-WRT (она совместима не со всеми маршрутизаторами). в продаже).

OpenVPN можно свободно настроить на использование любого порта TCP или UDP, и он совместим с Windows, Linux и macOS после установки соответствующего клиентского программного обеспечения.

Также на Android можно подключиться к серверу OpenVPN, установив специальные приложения.

WireGuard

Гораздо более производительный протокол, чем недавно появившийся на мировой арене OpenVPN, — WireGuard.

В то время как OpenVPN в целом опирается примерно на 120 000 строк кода, WireGuard использует только 4 000 строк кода и в целом очень компактную архитектуру. Функция, которая позволяет улучшить аспекты безопасности и держать их под контролем.

В статье Free VPN: что такое WireGuard и как она работает с AzireVPN, мы подробно представили WireGuard, уделив особое внимание аспектам, связанным с производительностью: доступной пропускной способности и задержке.

Создайте VPN-сеть

Лучший способ настроить VPN — настроить функциональность сервера на маршрутизаторе, который вы используете в своей компании, офисе или дома.

В связи с этим, однако, следует отметить, что большинство более дешевых маршрутизаторов не интегрируют функции сервера, а могут выступать только в качестве VPN-клиента.

Поэтому при выборе маршрутизатора хорошо проверить, тщательно изучив его технические характеристики, что он может работать как сервер OpenVPN или с ограничением L2TP / IPSec.

Те, кто не нашел ничего подходящего, могут ориентироваться на маршрутизаторы марки Mikrotik, латвийского производителя, который предлагает отличные устройства со встроенной поддержкой OpenVPN-сервера по выгодным ценам (см., например, эта страница на Amazon Италия).

Роутер Mikrotik, лишенный функциональности модема (не интегрирует модем ADSL2 +), может быть установлен «позади» любого устройства, способного согласовать соединение с интернет-провайдером и настраиваемого в режиме моста.

Доступно пошаговое руководство по настройке OpenVPN на роутерах Mikrotik. на этот адрес.

Более сообразительные, если маршрутизатор совместим, могут установить кастомную прошивку, такую ​​как DD-WRT или Tomato. Оба предлагают инструменты для преобразования маршрутизатора в сервер OpenVPN (мы говорили об этом в статье Как настроить профессиональную сеть VPN с OpenVPN и DD-WRT).

Некоторые серверы NAS позволяют настроить VPN-сервер — в случае с продуктами Synology мы говорили об этом в следующих статьях:
— VPN-сервер, как его создать с помощью NAS
— Сделайте VPN на серверах Synology NAS более безопасным.

Тем не менее, в качестве альтернативы, например, вы можете обратиться к такому дистрибутиву, как Amahi, который в кратчайшие сроки позволяет вам настроить сервер OpenVPN в вашей локальной сети: VPN-сети: безопасный обмен данными с подключенными системами к локальной сети. Амахи и OpenVPN.

Amahi также можно использовать с USB-накопителя, с любого загрузочного носителя или установить на виртуальную машину, которая, в свою очередь, имеет право доступа к общим ресурсам в локальной сети.

Другой вариант — установить и настроить OpenVPN на компьютере с Windows или Linux.

Что касается Windows, в статье «Подключение VPN в Windows с помощью OpenVPN» вы найдете пошаговое руководство по настройке VPN-сервера.

Настройка маршрутизатора или NAS-сервера для создания и управления VPN-сервером, возможно, является наиболее практичным решением. В других случаях, чтобы получить доступ к VPN-серверу извне, машина, на которой установлен VPN-сервер, всегда должна быть включена.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *