Инструкция: как настроить и запустить собственный vpn-сервер за 15 минут, даже если вы не разбираетесь в программировании

Блокировка фишинговых атак

Не будем вдаваться в технические подробности конкретных методов реализации VPN — это долго и скучно. Если понадобится, желающие быстро найдут нужные для своих задач комбинации, например, здесь.

Главное, что за счет туннелирования злоумышленникам всегда сложно реализовать направленную фишинговую атаку: дополнительное шифрование подобных ресурсов делает затруднительным любое отслеживание трафика.

Таким образом, мошенники не смогут связать информацию о покупках или оплате других услуг с конкретным устройством, на котором это производилось. И не смогут провести направленную атаку, “горячий звонок” – у них просто не будет начальных данных, так часто используемых в подобных преступлениях. А «лупить по площади» для них слишком затратно.

Реже всего подвергаются фишингу именно скрытые VPN устройства и ресурсы. Это слишком трудно, долго, результат не предсказуем — кому нужны ваши пароли, если они перемешаны с данными других приложений и пару раз зашифрованы?

Зачем нужен свой VPN (или чем плохи чужие).

Разумеется, вы можете использовать чужие платные или бесплатные VPN-сервера. Тысячи их! Я перешел по первой же ссылке, посмотрел цены – не слишком оптимистично. Итак, недостатки чужих VPN:

1. Цена – хорошие VPN стоят хороших денег. 2. Прослушка трафика – вы не знаете, кто держит VPN, а он знает, на какие сайты вы ходите, какие пароли передаете, с кем общаетесь и т.п. Https конечно частично решает эту проблему, но еще не все сайты перешли на https, а так же остается атака Man in the middle – владелец VPN может возвращать вам свои сертификаты и центры сертификации, инициировать переход на более старую версию SSL, подсовывать вам свои сайты под видом искомых и т.п. 3. VPN может быть «грязным» – возможно, до вас или параллельно с вами этот же VPN сервер (и его ip адрес) использует для своих дел ассоциация педофилов Массачусетса – и, к тому же, этих мужчин (и этот ip адрес) уже отслеживает ФБР. 4. VPN может быть засвеченным – например, через него рассылали спам и он уже попал в черные списки – и вы не сможете войти на свой любимый сайт, потому что уже в бане. 5. Модификация трафика – если ваш трафик не зашифрован, или владелец VPN его может расшифровать, то сайты, которые вы запрашиваете, будут возвращаться с «лишними баннерами» или измененными адресами BTC и ETH для оплаты и т.п. Вообще, в двух словах, если вы просто хотите зависать на развлекательных сайтах, то берите любой бесплатный – иногда они будут не работать, иногда будут очень медленными, но это ж бесплатно.

Если VPN вам нужен для работы, берите хороший платный. Если у вас паранойя, или вы хотите заработать на аренде или вам просто интересно как это все делается – идем дальше.

Microsoft VPN

10 лет назад мы были компанией, ориентированной прежде всего на Windows. Microsoft предлагает бесплатное решение для тех, у кого вся инфраструктура построена на их базе. В простых случаях настройка не вызывает сложностей даже у начинающего системного администратора. В нашем случае мы хотели выжать из VPN все с точки зрения безопасности, соответственно, использование паролей было исключено. Мы естественно хотели использовать сертификаты вместо паролей и для хранения ключевой пары использовать свой продукт Рутокен ЭЦП. Для реализации проекта нам нужно было: контроллер домена, радиус сервер и правильно поднятая и настроенная инфраструктура PKI. Подробно на настройке я останавливаться не буду, в интернете есть достаточно много информации по данным вопросам, а правильная настройка PKI вообще может потянуть на десяток статей. Первым протоколом, который мы использовали у себя, был протокол PPTP. Долгое время данный вариант VPN нас устраивал, но в конечном итоге нам пришлось отказаться от него по двум причинам: PPTP работал далеко не везде и мы начинали пользоваться не только Windows, но и другими операционными системами. Поэтому мы стали искать альтернативы. Замечу, что поддержка PPTP не так давно была прекращена apple. Для начала мы решили посмотреть, что еще из протоколов может предложить на Microsoft. SSTP/L2TP. SSTP нас устраивал всем, за исключением того, что он работал только на Windows. L2TP данным недостатком не обладал, но его настройка и поддержание его в работе показались нам достаточно затратными и мы решили попробовать альтернативы. Хотелось более простого решения, как для пользователей, так и для администраторов.

Можно ли установить VPN на любое устройство?

Лучшие VPN-провайдеры предлагают версии приложений для Windows, macOS и всех видов мобильных устройств, а также расширения для разных веб-браузеров. Также эти сервисы позволяют подключить пользователю несколько устройств одновременно, а некоторые даже дают неограниченное количество подключений. Это значит, что вы сможете установить VPN-приложение практически на каждый свой гаджет — от ноутбука и iPad до приставки smart TV.

ExpressVPN предлагает приложения для всех устройств, которые только можно представить

Некоторые VPN-провайдеры (например, ExpressVPN) особенно хорошо подходят для устройств на базе iOS и Android. Это удобные приложения, в которых есть весь функционал десктопных клиентов. Я всегда советую установить VPN на мобильное устройство, поскольку так вы защитите его от угроз в незнакомых сетях и убережете от вредоносных атак через публичные сети WiFi.

Еще один вариант — установить VPN прямо на свой роутер или даже сразу заказать роутер с установленным приложением. Так каждое устройство, подключенное к этому роутеры, будет защищено, и вам не нужно будет загружать приложения на каждое устройство отдельно. Также вы сможете подключить столько устройств, сколько захотите, к защищенной VPN-сети, даже если провайдер ограничивает количество устройств для одной учетной записи.

Чтобы узнать больше, прочитайте наше руководство по установке VPN на роутер.

Скрытие определенных устройств от внешних глаз

Некоторые методы организации туннельного соединения позволяют «объединять» трафик: использующие их сервисы позволяют подключаться к одному серверу-«туннелю» сразу с нескольких устройств.

Для внешнего наблюдателя если такие соединения и видны, то выступают в роли единственного потребителя.

Метод позволяет избегать направленных фишинговых атак, подменять на удобное собственное местоположение, обходить некоторые блокировки (например, не оповещать банк о неожиданном отъезде) или без ограничений использовать стриминговые ресурсы, учитывающие количество подключенных устройств.

Зачем всё это и для чего?

У нас было: 10 самых простых конфигураций серверов на DigitalOcean, мобильные устройства на базе iOS, сервер для сбора статистики, никакого опыта в настройке VPN-серверов, а также неукротимое желание сделать быстрый, надёжный и простой в использовании VPN-сервис, которым будет приятно пользоваться. Не то, чтобы всё это было категорически необходимо, но если уж начали, то к делу надо подходить серьёзно.

В этой статье кратко опишу, как мы выбирали VPN-протокол, как настраивали сервер и как организовали сбор статистики с каждого VPN-сервера. Не стоит рассчитывать на подробную пошаговую инструкцию. В статье я буду приводить отрывки из файлов конфигураций с краткими комментариями.

Я думаю, что в IT сфере уже не найти человека, который не знал бы, что такое VPN и зачем он нужен.

Но если тезисно объяснять, зачем нужен VPN современному человеку, то получится примерно следующее:

• Если у вас есть какие-то внутренние (приватные) ресурсы, доступ к которым должен быть ограничен из глобальной сети интернет.
• Если вам необходимо организовать защищенное соединение между двумя сетями.
• Если вам нужно получить доступ к ресурсам, которые по тем или иным причинам недоступны из вашей страны (меняется ваше местоположение относительно вашего IP-адреса).

И не совсем очевидный момент: скорость интернет-соединения может быть выше через vpn, т.к. ваш провайдер может отправить ваш трафик по более короткому маршруту, а значит более оптимальному маршруту, из-за этого вы и можете получить прирост в скорости. Но это может сработать и в обратную сторону, если вы выберете не очень удачное расположение сервера относительно вас (об этом немного позже).

Мой личный опыт VPN

Я сейчас был исследование, тестирование и эксперименты на VPN на лучшую часть года. Хотя я, возможно, еще не являюсь техническим экспертом в VPN, я наверняка узнал больше, чем когда-либо хотел об этих услугах.

Мои эксперименты включали использование VPN на различных платформах, в том числе их мобильные приложения для Android, плагины для браузера и с различными моделями использования. Некоторых я был приятно удивлен, но некоторые совершенно разочарованы.

Я должен сказать, что в конце дня, независимо от возможностей продукта, нет абсолютно никаких оснований для того, чтобы какая-либо из этих компаний имела плохую службу обслуживания клиентов. И да, я оцениваю некомпетентность и ленивость как «плохое обслуживание клиентов».

Оборудование

По большей части мои тесты проводились с использованием VPN-клиента с открытым исходным кодом или приложения VPN, установленного на компьютере под управлением Windows. Как правило, это нормально, и я обнаружил, что обычно это происходит, когда оборудование, которое у нас дома, ограничивает нашу VPN больше, чем сама услуга.

Самое главное, что я узнал об оборудовании, это то, что если вы намерены развернуть VPN прямо на своем маршрутизаторе, вам нужно знать один очень важный фактор — вашу VPN должен имеют процессор kick-ass. Обычно они ограничиваются ценовым диапазоном «oh-my-God» потребительских беспроводных маршрутизаторов, и даже тогда они весьма ограничены.

В качестве примера я попробовал несколько виртуальных частных сетей Asus RT-1300UHP который, если штраф для большинства домов. Он, безусловно, может обрабатывать даже полные гигабитные скорости (через LAN) и до 400 + Мбит / с в WiFi. Тем не менее он только управлял пропускной способностью около 10 Mbps после того, как VPN был настроен. При такой скорости процессор постоянно напрягался в 100%.

Какой маршрутизатор вам нужен, о котором мы говорим, находится в диапазоне ROG Rapture GT-AC5300 or Netgear Nighthawk X10 — Дорого, а не норма для большинства домашних хозяйств. Даже тогда, если скорость вашего интернета будет быстрой — узким местом останется ваш маршрутизатор.

Подключение к Интернету

Я начал тестировать VPN на линии 50 Mbps, которая давала мне приблизительную рекламируемую скорость — я обычно обходился 40-45 Мбит / с. В конце концов я перешел на линию 500 Mbps, для которой я обошел 80% объявленных скоростей — обычно 400-410 Mbps.

Только когда я перешел на более высокую скорость, я понял, что многие VPN пытаются справиться с такими скоростями из-за сочетания факторов. Это включает в себя машину, на которой вы ее запускаете, расстояние между вами и выбранным VPN-сервером, какие коэффициенты шифрования вы предпочитаете и многое другое.

1. Streaming

Сначала это было главным образом тестирование скорости, просто чтобы сохранить послужной список, а также эксперимент. Как только я установил базовый уровень, я начал тестировать другие сайты загрузки или потоковое видео. По большей части я обнаружил, что почти все виртуальные машины способны передавать потоки видео 4k UHD.

2. Торрент

Конечно, Torrenting также был проверен, и я обнаружил, что это немного разочаровывает. Я думаю, что, как только ваши домашние интернет-скорости достигнут определенного момента, вы обнаружите, что производительность вашего VPN-сервиса резко падает, если вы не инвестируете в лучшую инфраструктуру.

3. азартные игры

Я не очень много играю (по крайней мере, не те игры, которые важны для производительности VPN), но я действительно обращал внимание на время ping. Если вы являетесь игроком, надеющимся использовать VPN для доступа к игре, находящейся вне вашей страны, вы можете быть разочарованы

Время Ping значительно увеличивается, чем дальше вы от VPN-серверов, даже если скорости быстрые и стабильные.

PPTP сервер

Настройка сервера

Устанавливаем пакет

После завершения установки открываем в любом текстовом редакторе файл “/etc/pptpd.conf” и приводим его к следующему виду.

Далее редактируем файл “/etc/ppp/pptpd-options”, большинство параметров уже установлены по умолчанию.

На следующем этапе необходимо создать учетную запись для подключения клиентов. Предположим, мы хотим добавить пользователя “vpnuser”, с паролем “1” и разрешить для него динамическую адресацию. Открываем файл “/etc/ppp/chap-secrets” и добавляем в конец строку с параметрами пользователя.

Значение “pptpd” это имя сервиса, которое мы указали в файле “pptpd-options”. Вместо символа “*” для каждого клиента можно указать фиксированный ip-адрес. В результате содержимое файла “chap-secrets” будет таким.

Для применения настроек перезагружаем службу pptpd и добавляем её в автозагрузку.

Настройка сервера завершена.

Настройка клиента

Открываем “Пуск” — “Параметры” — “Сеть и интернет” — “VPN” и нажимаем “Добавить VPN-подключение”

В открывшемся окне вводим параметры подключения и нажимаем “Сохранить”

• Поставщик услуг VPN: “Windows (встроенные)”
• Имя подключения: “vpn_connect” (можно ввести любое)
• Имя или адрес сервера: (указываем внешний ip адрес сервера)
• Тип VPN: “Автоматически”
• Тип данных для входа: “Имя пользователя и пароль”
• Имя пользователя: vpnuser (имя, которое указано в файле “chap-secrets” на сервере)
• Пароль: 1 (так же из файла “chap-secrets”)

После сохранения параметров, в окне VPN появится новое подключение. Щелкаем по нему левой кнопкой мыши и нажимаем “Подключиться”. При успешном соединении с сервером, на значке подключения появится надпись “Подключено”.

В свойствах подключения отображаются внутренние адреса клиента и сервера. В поле “Адрес назначения” указан внешний адрес сервера.

При установленном соединении внутренний ip-адрес сервера, в нашем случае 172.16.0.1, становится шлюзом по умолчанию для всех исходящих пакетов.

Воспользовавшись любым онлайн-сервисом вы можете убедиться, что внешний IP адрес компьютера теперь совпадает с IP адресом вашего VPN сервера.

Как пользоваться

Необходимо настроить соединение. Разберем шаги на примере самой распространенной ОС — Windows: открываем панель управления и выбираем раздел «Сеть и интернет». Далее: «Центр управления сетями и общим доступом» — «Настройка нового подключения» — «Подключение к рабочему месту». Кликаем возле «Нет, создать подключение» и жмем «Использовать мое подключение».

При входе через интернет вводим IP роутера или интернет-центра (предоставляется провайдером при первоначальной настройке), а при входе через VPN — локальный IP.

Затем настраиваем параметры учетной записи (даются при регистрации интернет-центра/ Wi-Fi роутера, расположены на оборотной стороне устройства), которые необходимы для подключения к РРТР-серверу, это имя пользователя, пароль и домен (домен не обязателен). Мы создали ВПН и теперь для последующих входов можем оптимизировать весь процесс, чтобы сократить время соединения:

• Открываем «Центр управления сетями и общим доступом».
• Жмем «Изменения параметров адаптера».
• Ищем сделанное нами подключение и просматриваем его характеристики (безопасность, свойства и тип VPN).
• Устанавливаем «Туннельный протокол типа точка-точка (РРТР)».

Если не выполнить этого, при каждом выходе в глобальную сеть Windows будет по очереди перебирать доступные варианты, пока не найдет протокол РРТР.

На этом настройка закончена, смело выполняйте подключение.

Блокировка доступа к интернету кроме VPN-соединения

1. Переходим в «Панель управления —> Сеть и Интернет —> Центр управления сетями и общим доступом».

2. VPN-подключение определяем как «Домашняя сеть», сетевое подключение как «Общественная сеть».

3. Открываем «Брандмауэр Windows в режиме повышенной безопасности» и нажимаем на «Свойства брандмауэра Windows».

4. Во вкладке «Общий профиль» блокируем Входящие и Исходящие соединения. В «Защищенные сетевые подключения» выбрать все.

5. Во вкладке «Частный профиль» разрешаем Входящие и Исходящие соединения. В «Защищенные сетевые подключения» выбрать все. Нажимаем ОК.

6. Переходим во вкладку «Правила для входящих соединений». Нажимаем «Создать правило».

7. Далее выбираем:

• Тип правила: «Настраиваемые»
• Программа: «Все программы»
• Протокол и порты: «Тип протокола: Любой»
• Область: «Локальные IP: Любой; Удаленные IP: Указанный IP» и здесь добавляем IP вашего VPN (как на скрине ниже).
• Действие: «Разрешить подключение»
• Профиль: ТОЛЬКО «Публичный»
• Имя: (любое) «VPN1»

Нажимаем «Готово».

8. Переходим во вкладку «Правила для входящих соединений». Нажимаем «Создать правило» и делаем все как в предыдущем пункте.

9. Проверяем работоспособность. Теперь при отключенном VPN должен отсутствовать доступ в интернет.

На этом все. Надеюсь данная статья помогла поднять и настроить VPN-сервер на роутере.

Защита от слежки глобальных корпораций

Apple и Google не скрывают, что собирают множество данных со всех устройств. Даже если отказаться или заблокировать его системными средствами, часть информации все равно будет передаваться.

Местоположение, аппаратные настройки, программные логи, характерные наборы действий пользователя рано или поздно оказывается на серверах крупнейших брендов.

Официально это происходит в обезличенном режиме. Но и в этом случае агрессивный сбор аналитики вызывает подозрение у многих.

Комбинация VPN, шифрования и файрволла позволяет практически полностью закрыть доступ поставщиков услуг к пользовательским действиям. При правильной настройке даже Google не сможет узнать ничего со смартфона – правда, ряд сервисов и таргетирование будет хромать.

Настройка VPN сервера.

Если вы хотите установить и использовать VPN сервер на базе семейства Windows , то необходимо понимать, что клиенские машины Windows XP/7/8/10 данную функцию не поддерживают, вам необходима система виртуализации, либо физический сервер на платформе Windows 2000/2003/2008/2012/2016, но мы рассмотрим данную функцию на Windows Server 2008 R2.

1. Для начала необходимо установить роль сервера «Службы политики сети и доступа» Для этого открываем диспетчер сервера и нажимаем на ссылку «Добавить роль»:

Выбираем роль «Службы политики сети и доступа» и нажимаем далее:

Выбираем «Службы маршрутизации и удаленного доступа» и нажимаем Далее и Установить.

2. После установки роли необходимо настроить ее. Переходим в диспетчер сервера, раскрываем ветку «Роли», выбираем роль «Службы политики сети и доступа», разворачиваем, кликаем правой кнопкой по «Маршрутизация и удаленный доступ» и выбираем «Настроить и включить маршрутизацию и удаленный доступ»

После запуска службы считаем настройку роли законченной. Теперь необходимо разрешить пользователям доступ до сервера и настроить выдачу ip-адресов клиентам.

Порты которые поддерживает VPN. После поднятие службы они открываются в брендмауэре.

Для PPTP: 1723 (TCP);

Для L2TP: 1701 (TCP)

Для SSTP: 443 (TCP).

Протокол L2TP/IpSec является более предпочтительным для построения VPN-сетей, в основном это касается безопасности и более высокой доступности, благодаря тому, что для каналов данных и управления используется одна UDP-сессия. Сегодня мы рассмотрим настройку L2TP/IpSec VPN-сервера на платформе Windows Server 2008 r2.

Вы же можете попробовать развернуть на протоколах: PPTP, PPOE, SSTP, L2TP/L2TP/IpSec

Переходим в Диспетчер сервера: Роли — Маршрутизация и удалённый доступ, щелкаем по этой роли правой кнопкой мыши и выбираем «Свойства», на вкладке «Общие» ставим галочку в полях IPv4-маршрутизатор, выбираем «локальной сети и вызова по требованию», и IPv4-сервер удаленного доступа:

Теперь нам необходимо ввести предварительный ключ. Переходим на вкладку Безопасность и в поле Разрешить особые IPSec-политики для L2TP-подключения поставьте галочку и введите Ваш ключ. (По поводу ключа. Вы можете ввести туда произвольную комбинацию букв и цифр главный принцип, чем сложнее комбинация — тем безопаснее, и еще запомните или запишите эту комбинацию она нам еще понадобиться). Во вкладке «Поставщик службы проверки подлинности» выберите «Windows — проверка подлинности».

Теперь нам необходимо настроить Безопасность подключений. Для этого перейдем на вкладку Безопасность и выберем Методы проверки подлинности, поставьте галочки на Протокол EAP и Шифрованная проверка (Microsoft, версия 2, MS-CHAP v2):

Далее перейдем на вкладку IPv4, там укажем какой интерфейс будет принимать подключения VPN, а так же настроим пул выдаваемых адресов клиентам L2TP VPN на вкладке IPv4 (Интерфейсом выставьте «Разрешить RAS выбирать адаптер»):

Теперь перейдем на появившуюся вкладку Порты, нажмем правой кнопкой мыши и Свойства, выберем подключение L2TP и нажмем Настроить, в новом окне выставим Подключение удаленного доступа (только входящие) и Подключение по требованию (входящие и исходящие) и выставим максимальное количество портов, число портов должно соответствовать или превышать предполагаемое количество клиентов. Неиспользуемые протоколы лучше отключить, убрав в их свойствах обе галочки.

Список портов, которые у нас остались в указанном количестве.

На этом настройка сервера закончена. Осталось только разрешить пользователям подключатся к серверу. Перейдите в Диспетчере сервера Active Directory – пользователи – находим пользователя которому хотим разрешить доступ нажимаем свойства, заходим в закладку входящие звонки

Дополнительные свойства соединения

Чтобы соединение работало корректно, рекомендуется немного изменить его параметры. Для этого после нажатия кнопки Подключения в появившемся меню выберите кнопку Свойства. Также эти свойства можно открыть через раздел «Изменение параметров адаптера» из Панели управления.

Следуйте инструкции:

1. Перейдите в раздел «Общие», уберите галочку с «Сначала набрать номер для этого подключения».
2. В «Параметры» отключите пункт «Включать домен входа в Windows».
3. В разделе «Безопасность» нужно установить «Туннельный протокол точка-точка (РРТР)». Из галочек отмечаем «Протокол проверки пароля (CHAP)» и следующим за ним «Протокол Microsoft CHAP версии 2 (MS-CHAP v2)».
4. В разделе «Сеть» отмечаем только вторую галочку (TCP/IPv4). Можно также использовать IPv6.

Настройка VPN на Windows xp, 7, 8, 10 через Панель управления одинаковая по алгоритму исполнения. Исключением является слегка измененный дизайн в зависимости от версии операционной системы.

После того, как установка соединения окончена, нужно разобраться, как удалить VPN. Для этого достаточно перейти в раздел «Изменение параметров адаптера» из Панели управления. Далее правой кнопкой мыши наводим на ненужный элемент и в меню выбираем «Удалить».

Сохранность передаваемых данных

Основная масса VPN-сервисов умеет и активно практикует сложные методы шифрования данных в поточном режиме, на лету. Организовать подобное самостоятельно можно, но справится не каждый пользователь.

Для особых параноиков стоит выбирать ещё более продвинутые ресурсы туннельного доступа, умеющие подменять или маскировать DNS-сервера, «смешивающие» трафик разных пользователей или использующих распределенный доступ к внешним ресурсам.

Среди них стоит выделить дешевый и надежный AzireVPN, расположенный в оффшорной зоне BolehVPN, технически продвинутый LiquidVPN или поддерживающий TOR-соединения SequreVPN.

После такого пароли, явки и данные не получит никто, кроме владельца и ресурса, к которому они обращены (с которого скачиваются).

Установка клиента для Windows 7/8/10/XP и Android

Поздравляю, мы на финишной линии! Теперь только осталось установить бесплатную программу, которая будет подключаться к нашему VPN-серверу. Называется она «OpenVPN».

Скачиваем версию для Windows и устанавливаем её, запускать не надо.

Если в процессе установки будут выскакивать всякие окошки, со всем соглашаемся.

Чтобы подключиться к серверу кликаем на рабочем столе по файлу «client.ovpn» правой кнопкой и выбираем «Start OpenVPN on this config file»:

Появится чёрное окошко с процессом инициализации подключения. Если всё прошло успешно, то последняя строчка должна быть, типа:

Ещё может выпадет окно с вопросом типа новой сети, тогда выбираем «Общественная сеть».

Можно проверять, заходим на сайт 2ip.ru и смотрим свой IP, должен совпадать с IP VPS-сервера:

Окно консоли сервера теперь смело можно закрывать. А чтобы закрыть впн-соединение и вернуть старый айпи – нужно закрыть окошко от OpenVPN.

Чтобы подключиться в следующий раз, достаточно просто запустить правой кнопкой файл «client.ovpn» с рабочего стола, больше ничего делать не требуется.

С телефоном всё ещё проще, нужно установить через плеймаркет приложение OpenVPN, закачать в память файл client.ovpn, выбрать его в приложении и подключиться к нашему vpn-серверу.

Настройка на Windows 10

ОС сложнее предыдущих версий. Но, настроить соединение через VPN оказывается очень просто. Следуйте приведенной ниже пошаговой инструкции.

Откройте «Пуск». Из выпавшего списка перейдите в «Настройки». Этот подраздел может называться «Параметры».

Где искать «Параметры»?

Когда появится окошко «Параметры Windows», вы увидите пункт «Сеть и Интернет». Откройте содержимое. Тут есть пункт «VPN». Сделайте один клик. Нажмите «Добавить VPN подключение». В новом окошке по порядку установите такие параметры:

• Windows (встроенные);
• Бизнес-Связь;
• net;
• протокол L2TP;
• задайте логин и пароль. Необходимые сведения прописаны в вашем соглашении на предоставление интернет-услуг.

Проверьте правильность заполнения полей, кликните на «Сохранить».

Добавление VPN подключения: выбор настроек

Дальше откроется форма с отображением созданного подключения. Остается подключиться.

Что нужно для создания VPN

Для создания собственного vpn потребуется виртуальный сервер VPS (virtual private server) или VDS (virtual dedicated server). Между ними никакой разницы нет. VPS — это термин, который пришел к нам из зарубежного сегмента интернета. VDS — это чисто рунетовский термин, образовавшийся от некогда популярной отечественной панели vds manager.

Если вы хотите обходить региональные блокировки сайтов, то арендовать сервер лучше в другой стране. Что касаться требований характеристик, то тут довольно всё скромно. Для впн достаточно будет 1 ядра и 512 Мб оперативной памяти. Виртуализация может быть любой. Операционка должна быть на Linux: ubuntu, debian или centos.

В этой статье мы арендуем сервер в Нидерландах с параметрами: 1 СPU/1024 MB RAM и операционной системой Ubuntu-18.04.

Сбор статистики с VPN-сервера

Нам ещё было очень интересно, сколько пользователей подключено в данный момент к серверу, какой объём трафика потребляется и раздаётся на сервере. Изначально хотели сделать всё максимально просто и забирать статистику через команды ipsec, но столкнулись с тем, что мы можем терять данные из-за того, что пользователь может отключиться или подключиться в период таймаута между командами для сбора статистики.

Испробовав разные варианты, решили остановиться и разобраться, как настроить FreeRadius сервер, который как раз и будет получать данные от ipsec и отправлять данные со статистикой нам.

FreeRadius сервер можно использовать и для авторизации пользователей, но мы остановились только на сборе статистики.
Для включения radius необходимо добавить следующее в конфигурацию ipsec:

FreeRADIUS сервер для мониторинга подключений к серверу и сбора статистики

Чтобы наши данные уходили на наш endpoint, включаем модуль rest. Для этого в файле /etc/raddb/mods-enabled/rest настраиваем блок accounting, получится что-то вроде:

Здесь мы можем как угодно комбинировать данные и отправлять на наш сервер.

При настройке VPN сервера столкнулись с некоторыми нюансами, вроде таких, что устройства Apple не могут подключить к серверу, если на нём будет самоподписанный сертификат, всё заработало только после того, как сертификат начали генерировать через Let’s Encrypt.

Какие недостатки присутствуют в нашей сборке?

• Если radius сервер не отвечает, то пользователь не сможет подключиться к VPN.
• Если закончится срок действия сертификата, пользователь не сможет авторизоваться на VPN-сервере.

Что можно было бы добавить в следующих версиях VPN-сервера?

• Авторизацию пользователей вынести в radius.
• Добавить автоматическое обновление сертификата.
• Провести рефакторинг скриптов, а также файлов конфигураций.
• Добавить health-check для впн сервера.

Что же у нас получилось в итоге?

Есть разные алгоритмы шифрования VPN, чем они отличаются?

Основная масса VPN-сервисов предлагает одни и те же варианты шифрования: традиционный MS-CHAP и более современный AES.

MS-CHAP был создан ещё для Windows 3.1, поэтому поддерживается на аппаратном уровне практически любым существующим «железом» и самыми экзотическими операционными системами.

Надежность современных реализаций протокола проверена годами. Ложка дегтя: в традиционных версиях есть ряд известных уязвимостей. Их можно «залечить», но придется приложить руки.

Современные варианты MS-CHAP рекомендуются при аппаратном доступе к VPN на уровне маршрутизаторов и других сетевых устройств. Но только в реализации не ниже v2.

AES стал общепринятым стандартом только в 2002, однако его аппаратная поддержка так же существует — если не на уровне сетевой карты, то на уровне процессора.

Обеспечивает надежную защиту, не имеет крупных уязвимостей (хотя имеет ряд способов дешифровки).

Для базовых нужд достаточно 128-битного ключа, но при передаче данных особой важности требуется AES с длиной ключа 256 символов