Skip to main content

Руководство пользователя

Типы VPN-соединений в Keenetic

VPN (Virtual Private Network; виртуальная частная сеть) — обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых соединений (туннелей) поверх другой сети (например Интернет).

Существует много причин для использования виртуальных частных сетей. Наиболее типичные из них — безопасность и конфиденциальность данных. С использованием средств защиты данных в виртуальных частных сетях гарантируется конфиденциальность исходных пользовательских данных.

Известно, что сети, использующие протокол IP (Internet Protocol), имеют "слабое место", обусловленное самой структурой протокола. Он не имеет средств защиты передаваемых данных и не может гарантировать, что отправитель является именно тем, за кого себя выдает. Данные в сети, использующей протокол IP, могут быть легко подделаны или перехвачены.

Если вы из Интернета подключаетесь к собственному домашнему серверу, файлам USB-накопителя, подключенного к роутеру, видеорегистратору или по протоколу RDP к рабочему столу компьютера, рекомендуем использовать VPN-соединение. В этом случае можно будет не волноваться о безопасности передаваемых данных, т.к. VPN-соединение между клиентом и сервером, как правило, зашифровано.

Интернет-центры Keenetic поддерживают следующие типы VPN-соединений:

  • PPTP/SSTP

  • L2TP over IPSec (L2TP/IPSec)

  • WireGuard

  • OpenVPN

  • IPSec

  • IKEv2

  • GRE/IPIP/EoIP

  • IPSec Xauth PSK (Virtual IP)

С помощью интернет-центра Keenetic ваша домашняя сеть может быть подключена по VPN к публичному VPN-сервису, сети офиса или другого интернет-центра Keenetic при любом способе доступа в Интернет.

Во всех моделях Keenetic реализованы как VPN клиенты/серверы для безопасного доступа: PPTPL2TP over IPSecIKEv2WireguardOpenVPNSSTP, так и туннели для объединения сетей: Site-to-Site IPSecEoIP (Ethernet over IP), GREIPIP (IP over IP).

В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения разных сценариев: хост-хост, хост-сеть, хосты-сеть, клиент-сервер, клиенты-сервер, роутер-роутер, роутеры-роутер (vpn concentrator), сеть-сеть (site-to-site).

Если вы не знаете, какой тип VPN выбрать, приведенные ниже таблицы и рекомендации помогут в этом.

Тип VPN

Клиент

Сервер

Аппаратное ускорение *

Количество одновременных подключений

PPTP

+

+

-

  • Клиент: до 128

  • Сервер: до 100/150/200 в зависимости от модели **

SSTP

+

+

-

  • Клиент: до 128

  • Сервер: до 100/150/200 в зависимости от модели **

L2TP over IPSec

+

+

+

  • Клиент: до 128

  • Сервер: ограничение отсутствует

WireGuard

+

+

-

до 32 ***

IPSec

+

+

+

ограничение отсутствует ****

IKEv2

+

+

+

до 32

GRE / IPIP / EoIP

+

+

-

до 128

OpenVPN

+

+

-

до 32

до 128

IPSec Xauth PSK

-

+

+

до 32

* — для моделей Runner 4G, Start, 4G, Lite, Omni, City, Air, Extra используется ускорение только работы алгоритма AES, а в моделях Viva, Ultra, Giga, Giant, Hero 4G, DUO, DSL, Peak используется аппаратное ускорение всего протокола IPSec.

** — до 200 для Peak, Giant, Giga и Ultra; до 150 для DSL и Duo; до 100 для Start, 4G, Lite, Omni, City, Air, Extra и Zyxel Keenetic Air, Extra II, Start II, Lite III Rev.B, 4G III Rev.B.

*** — с версии KeeneticOS 3.7 будет увеличено число подключений WireGuard для Peak до 128 и для Giga, Ultra, Viva, Hero 4G, Giant и Speedster до 48.

**** — до версии KeeneticOS 3.3 ограничение составляло до 10 подключений для Giga, Ultra и до 5 для всех остальных моделей.

Важно

Для моделей Keenetic с индексом KN-1110, 1210, 1310, 1410, 1510, 1610, 1710, 1810, 1910 число клиентских подключений ограничивается выделенным служебным размером раздела памяти объемом 24 Кбайта для хранения VPN-конфигураций. Особенно это актуально для OpenVPN-соединений, т.к. суммарный размер их конфигураций не должен превышать 24 Кбайта.

Тип VPN

Уровень сложности

Уровень защиты данных

Скорость**

Ресурсоемкость

Интеграция в ОС

PPTP

для обычных пользователей

низкий

средняя, высокая без MPPE

низкая

Windows, macOS, Linux, Android, iOS (до версии 9 вкл.)

SSTP

для обычных пользователей

высокий

средняя, низкая при работе через облако

средняя

Windows

L2TP over IPSec

для обычных пользователей

высокий

высокая, средняя на младших моделях

высокая

Windows, macOS, Linux, Android, iOS

WireGuard

для опытных пользователей

очень высокий

высокая

низкая

отсутствует*

IPSec

для профессионалов

очень высокий

высокая

высокая

Windows, macOS, Linux, Android, iOS

IKEv2

для обычных пользователей

высокий

высокая

высокая

Windows, macOS, Linux, iOS

OpenVPN

для опытных пользователей

очень высокий

низкая

очень высокая

отсутствует*

IPSec Xauth PSK

для обычных пользователей

высокий

высокая

высокая

Android, iOS

* — для организации подключения понадобится установить дополнительное бесплатное ПО в операционных системах Windows, macOS, Linux, Android, iOS.

** — представлены относительные величины, а не конкретные цифры, т.к. скорости для VPN-подключений зависят от моделей и целого ряда факторов — типа используемых алгоритмов шифрования, числа одновременных подключений, типа подключения к Интернету и скорости интернет-канала, от загрузки интернет-канала, нагрузки на сервер и других факторов. Низкой будем называть скорость до 15 Мбит/с, средняя в районе 30 - 50 Мбит/с и высокая — свыше 70 Мбит/с.

Важно

Получить максимальные скорости VPN-соединений можно в модели Keenetic Peak (KN-2710). Данная высокопроизводительная модель, благодаря энергоэффективному 2-ядерному ARM-процессору Cortex-A53 1,35 ГГц и увеличенному объему оперативной памяти, поднимает пиковую скорость ресурсоемких VPN-протоколов OpenVPN, SSTP и IPsec до 150-200 Мбит/с.

Для примера приведем цифры максимальных скоростей для разных типов VPN, полученные в нашей тестовой лаборатории: Wireguard — 450 Мбит/сIPsec — 220 Мбит/сL2TP/IPsec — 160 Мбит/сSSTP (в режиме "Прямой доступ") — 110 Мбит/сOpenVPN — 200 Мбит/сPPTP (с MPPE) — свыше 500 Мбит/с.

Тип VPN

Плюсы

Минусы

PPTP

популярность, широкая совместимость с клиентами

невысокий уровень защиты данных, в сравнении с другими протоколами VPN

SSTP

возможность работы VPN-сервера при наличии "серого" IP для доступа в Интернет *, использование протокола HTTPS (TCP/443)

встроенный клиент только в ОС Windows, низкая скорость передачи данных при работе через облако

L2TP over IPSec

безопасность, стабильность, широкая совместимость с клиентами, простая настройка

используются стандартные порты, что позволяет провайдеру или системному администратору заблокировать трафик

WireGuard

современные протоколы безопасности данных, низкая ресурсоемкость, высокая скорость передачи данных

не входит в состав современных ОС, разработка является экспериментальной и может проявляться нестабильность

IPSec

надежность, очень высокий уровень защиты данных

сложность настройки для обычных пользователей

IKEv2

надежность, высокий уровень защиты данных, простая настройка, поддержка на устройствах Blackberry

не входит в состав Android (для подключения нужно использовать дополнительное бесплатное ПО), используются стандартные порты, что позволяет провайдеру или администратору блокировать трафик

OpenVPN

высокий уровень защиты данных, использование протокола HTTPS (TCP/443)

не входит в состав современных ОС, очень ресурсоемкий, невысокие скорости передачи данных

IPSec Xauth PSK

безопасность, входит в состав современных мобильных ОС

отсутствие поддержки клиентов в ОС для ПК

* — данная возможность реализована на нашем облачном сервере как специальное программное расширение и доступна только для пользователей интернет-центров Keenetic.

Для обычных пользователей для использования удаленных подключений клиенты-сервер мы рекомендуем:

  • L2TP over IPSec (L2TP/IPSec), PPTP, IPSec Xauth PSK, SSTP

В ряде моделей Keenetic передача данных по IPSec (в том числе L2TP over IPSec и IKEv2) ускоряется аппаратно с помощью процессора устройства, что обеспечивает высокие скорости передачи данных. В таком туннеле можно абсолютно не волноваться о конфиденциальности IP-телефонии или потоков видеонаблюдения.

Если провайдер выдает вам публичный IP-адрес, рекомендуем обратить внимание на серверы IKEv2 L2TP over the IPSec server и на так называемый виртуальный сервер IPSec (Xauth PSK). Они замечательны тем, что обеспечивают абсолютно защищенный доступ к домашней сети со смартфона, планшета или компьютера с минимальной настройкой: в Android, iOS и Windows для этих типов VPN есть удобные встроенные клиенты. Для IKEv2 в ОС Android используйте бесплатный популярный VPN-клиент strongSwan.

Если же интернет-провайдер предоставляет вам только частный "серый" IP-адрес для работы в Интернете, и нет возможности получить публичный IP, вы всё-равно сможете организовать удаленный доступ к своей домашней сети, используя VPN-сервер SSTP. Основным преимуществом туннеля SSTP является его способность работать через облако, т.е. он позволяет установить подключение между клиентом и сервером, даже при наличии "серых" IP-адресов с обеих сторон. Все остальные VPN-сервера требуют наличия публичного "белого" IP-адреса. Обращаем ваше внимание, что данная возможность реализована на нашем облачном сервере и доступно только для пользователей Keenetic.

Что касается туннельного протокола PPTP, он наиболее прост и удобен в настройке, но потенциально уязвим, в сравнении с другими типами VPN. Тем не менее лучше использовать его, чем не применять VPN вовсе.

Для опытных пользователей к этому списку можно добавить:

  • WireGuard, OpenVPN

OpenVPN очень популярен, но чрезвычайно ресурсоемкий и не имеет особых преимуществ против IPSec. В интернет-центре Keenetic для подключения OpenVPN реализованы такие возможности как режим TCP и UDP, аутентификация TLS, использование сертификатов и ключей шифрования для повышения уровня безопасности VPN-подключения.

Современный протокол WireGuard сделает работу с VPN проще и быстрее (в несколько раз в сравнении с OpenVPN) без наращивания мощности железа в устройстве.

Для объединения сетей и организации Site-to-Site VPN используйте:

  • IPSec, L2TP over IP (L2TP/IPSec), WireGuard

Для решения специализированных задач по объединению сетей:

  • EoIP, GRE, IPIP

IPSec является одним из самых безопасных протоколов VPN за счет использования криптостойких алгоритмов шифрования. Он является идеальным вариантом для создания подключений типа Site-to-Site VPN для объединения сетей. Кроме этого для профессионалов и опытных пользователей имеется возможность создавать туннели IPIPGREEoIP как в простом виде, так и в сочетании с туннелем IPSec, что позволит использовать для защиты этих туннелей стандарты безопасности IPSec VPN. Поддержка туннелей IPIPGREEoIP позволяет установить VPN-соединение с аппаратными шлюзами, Linux-маршрутизаторами, компьютерами и серверами с ОС UNIX/Linux, а также с другим сетевым и телекоммуникационным оборудованием, имеющих поддержку указанных туннелей. Настройка туннелей данного типа доступна только в интерфейсе командной строки (CLI) интернет-центра.

Дополнительную информацию, по настройке разных типов VPN в интернет-центрах Keenetic, вы найдете в инструкциях: