Типы VPN-соединений в Keenetic
VPN (Virtual Private Network; виртуальная частная сеть) — обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых соединений (туннелей) поверх другой сети (например Интернет).
Существует много причин для использования виртуальных частных сетей. Наиболее типичные из них — безопасность и конфиденциальность данных. С использованием средств защиты данных в виртуальных частных сетях гарантируется конфиденциальность исходных пользовательских данных.
Известно, что сети, использующие протокол IP (Internet Protocol), имеют "слабое место", обусловленное самой структурой протокола. Он не имеет средств защиты передаваемых данных и не может гарантировать, что отправитель является именно тем, за кого себя выдает. Данные в сети, использующей протокол IP, могут быть легко подделаны или перехвачены.
Если вы из Интернета подключаетесь к собственному домашнему серверу, файлам USB-накопителя, подключенного к роутеру, видеорегистратору или по протоколу RDP к рабочему столу компьютера, рекомендуем использовать VPN-соединение. В этом случае можно будет не волноваться о безопасности передаваемых данных, т.к. VPN-соединение между клиентом и сервером, как правило, зашифровано.
Интернет-центры Keenetic поддерживают следующие типы VPN-соединений:
PPTP/SSTP
L2TP over IPSec (L2TP/IPSec)
WireGuard
OpenVPN
IPSec
IKEv2
OpenConnect
GRE/IPIP/EoIP
IPSec Xauth PSK (Virtual IP)
С помощью интернет-центра Keenetic ваша домашняя сеть может быть подключена по VPN к публичному VPN-сервису, сети офиса или другого интернет-центра Keenetic при любом способе доступа в Интернет.
Во всех моделях Keenetic реализованы как VPN клиенты/серверы для безопасного доступа: PPTP, L2TP over IPSec, IKEv2, Wireguard, OpenVPN, SSTP, OpenConnect так и туннели для объединения сетей: Site-to-Site IPSec, EoIP (Ethernet over IP), GRE, IPIP (IP over IP).
В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения разных сценариев: хост-хост, хост-сеть, хосты-сеть, клиент-сервер, клиенты-сервер, роутер-роутер, роутеры-роутер (vpn concentrator), сеть-сеть (site-to-site).
Если вы не знаете, какой тип VPN выбрать, приведенные ниже таблицы и рекомендации помогут в этом.
Тип VPN | Клиент | Сервер | Аппаратное ускорение | Количество одновременных подключений |
|---|---|---|---|---|
PPTP | + | + | - |
|
SSTP | + | + | - |
|
OpenConnect | + | + | - |
|
L2TP over IPSec | + | + | + |
|
WireGuard | + | + | - | до 32 |
IPSec | + | + | + | ограничение отсутствует |
IKEv2 | + | + | + | до 32 |
GRE / IPIP / EoIP | + | + | - | до 128 |
OpenVPN | + | + | - | до 32 до 128 |
IPSec Xauth PSK | - | + | + | до 32 |
* — для моделей Runner 4G, Start, 4G, Lite, Omni, City, Air, Extra используется ускорение только работы алгоритма AES, а в моделях Viva, Ultra, Giga, Giant, Hero 4G, DUO, DSL, Peak, Hopper используется аппаратное ускорение всего протокола IPSec.
** — до 200 для Peak, Giant, Giga и Ultra; до 150 для DSL и Duo; до 100 для Start, 4G, Lite, Omni, City, Air, Extra.
*** — с версии KeeneticOS 3.7 увеличено число подключений WireGuard для моделей на ARM-процессоре (KN-2710, KN-1811, KN-1012, KN-3811, KN-3812) до 128 и для KN-1011, KN-1810, KN-1912, KN-2311, KN-2610 и KN-3013 до 48.
**** — до версии KeeneticOS 3.3 ограничение составляло до 10 подключений для Giga (KN-1011), Ultra (KN-1810) и до 5 для всех остальных моделей.
Важно
Для моделей Keenetic с индексом KN-1110, 1210, 1310, 1410, 1510, 1610, 1710, 1810, 1910 число клиентских подключений ограничивается выделенным служебным размером раздела памяти объемом 24 Кбайта для хранения VPN-конфигураций. Особенно это актуально для OpenVPN-соединений, т.к. суммарный размер их конфигураций не должен превышать 24 Кбайта.
Для современных моделей Keenetic с индексом KN-xxxx увеличен размер хранилища, в которое помещаются в сжатом виде файл конфигурации startup-config и переменные окружения (в том числе ключи), и составляет от 260 Кбайт до 2 Мбайт (в зависимости от модели).
Тип VPN | Уровень сложности | Уровень защиты данных | Скорость | Ресурсоемкость | Интеграция в ОС |
|---|---|---|---|---|---|
PPTP | для обычных пользователей | низкий | средняя, высокая без MPPE | низкая | Windows, macOS, Linux, Android, iOS (до версии 9 вкл.) |
SSTP | для обычных пользователей | высокий | средняя, низкая при работе через облако | средняя | Windows |
OpenConnect | для обычных пользователей | высокий | средняя, низкая при работе через облако | средняя | отсутствует |
L2TP over IPSec | для обычных пользователей | высокий | высокая, средняя на младших моделях | высокая | Windows, macOS, Linux, Android, iOS |
WireGuard | для опытных пользователей | очень высокий | высокая | низкая | отсутствует |
IPSec | для профессионалов | очень высокий | высокая | высокая | Windows, macOS, Linux, Android, iOS |
IKEv2 | для обычных пользователей | высокий | высокая | высокая | Windows, macOS, Linux, iOS |
OpenVPN | для опытных пользователей | очень высокий | низкая | очень высокая | отсутствует |
IPSec Xauth PSK | для обычных пользователей | высокий | высокая | высокая | Android, iOS |
* — для организации подключения понадобится установить дополнительное бесплатное ПО в операционных системах Windows, macOS, Linux, Android, iOS.
** — представлены относительные величины, а не конкретные цифры, т.к. скорости для VPN-подключений зависят от моделей и целого ряда факторов — типа используемых алгоритмов шифрования, числа одновременных подключений, типа подключения к Интернету и скорости интернет-канала, от загрузки интернет-канала, нагрузки на сервер и других факторов. Низкой будем называть скорость до 15 Мбит/с, средняя в районе 30 - 50 Мбит/с и высокая — свыше 70 Мбит/с.
Важно
Получить максимальные скорости VPN-соединений можно в моделях Peak (KN-2710), Giga (KN-1012), Hopper (KN-3811/3812), Sprinter (KN-3711/3712), Challenger SE (KN-3911) и Ultra (KN-1811). Данные высокопроизводительные модели, благодаря энергоэффективным 2-ядерным ARM-процессорам Cortex-A53 1,35 ГГц и MT7981 1,3 ГГц (Mediatek Filogic 820), а также увеличенному объему оперативной памяти, поднимают пиковую скорость ресурсоемких VPN-протоколов OpenVPN и IPsec до 150-200 Мбит/с.
Для примера приведем цифры максимальных скоростей для разных типов VPN, полученные в нашей тестовой лаборатории: Wireguard — 450 Мбит/с; IPsec — 220 Мбит/с; L2TP/IPsec — 160 Мбит/с; SSTP (в режиме "Прямой доступ") — 110 Мбит/с; OpenConnect (в режиме "Прямой доступ") — 130 Мбит/с; OpenVPN — 200 Мбит/с; PPTP (с MPPE) — свыше 500 Мбит/с.
Тип VPN | Плюсы | Минусы |
|---|---|---|
PPTP | популярность, широкая совместимость с клиентами | невысокий уровень защиты данных, в сравнении с другими протоколами VPN |
SSTP | возможность работы VPN-сервера при наличии "серого" IP для доступа в Интернет | встроенный клиент только в ОС Windows, низкая скорость передачи данных при работе через облако |
OpenConnect | возможность работы VPN-сервера при наличии "серого" IP для доступа в Интернет | не входит в состав современных ОС |
L2TP over IPSec | безопасность, стабильность, широкая совместимость с клиентами, простая настройка | используются стандартные порты, что позволяет провайдеру или системному администратору заблокировать трафик |
WireGuard | современные протоколы безопасности данных, низкая ресурсоемкость, высокая скорость передачи данных | не входит в состав современных ОС |
IPSec | надежность, очень высокий уровень защиты данных | сложность настройки для обычных пользователей |
IKEv2 | надежность, высокий уровень защиты данных, простая настройка, поддержка на устройствах Blackberry | используются стандартные порты, что позволяет провайдеру или администратору блокировать трафик |
OpenVPN | высокий уровень защиты данных, использование протокола HTTPS (TCP/443) | не входит в состав современных ОС, очень ресурсоемкий, невысокие скорости передачи данных |
IPSec Xauth PSK | безопасность, входит в состав современных мобильных ОС | отсутствие поддержки клиентов в ОС для ПК |
* — данная возможность реализована на нашем облачном сервере как специальное программное расширение и доступна только для пользователей интернет-центров Keenetic.
Для обычных пользователей для использования удаленных подключений клиенты-сервер мы рекомендуем:
L2TP over IPSec (L2TP/IPSec), PPTP, IPSec Xauth PSK, SSTP, OpenConnect
В ряде моделей Keenetic передача данных по IPSec (в том числе L2TP over IPSec и IKEv2) ускоряется аппаратно с помощью процессора устройства, что обеспечивает высокие скорости передачи данных. В таком туннеле можно абсолютно не волноваться о конфиденциальности IP-телефонии или потоков видеонаблюдения.
Если провайдер выдает вам публичный IP-адрес, рекомендуем обратить внимание на серверы IKEv2, L2TP over the IPSec server и на так называемый виртуальный сервер IPSec (Xauth PSK). Они замечательны тем, что обеспечивают абсолютно защищенный доступ к домашней сети со смартфона, планшета или компьютера с минимальной настройкой: в Android, iOS и Windows для этих типов VPN есть удобные встроенные клиенты. Для IKEv2 в ОС Android используйте бесплатный популярный VPN-клиент strongSwan.
В качестве самого оптимального универсального варианта можно считать IKEv2 и L2TP/IPSec.
Если же интернет-провайдер предоставляет вам только частный IP-адрес для работы в Интернете, и нет возможности получить публичный IP, вы всё-равно сможете организовать удаленный доступ к своей домашней сети, используя VPN-сервер SSTP или OpenConnect. Основным преимуществом туннелей SSTP и OpenConnect является способность работать через облако, т.е. он позволяет установить подключение между клиентом и сервером, даже при наличии "серых" IP-адресов с обеих сторон. Все остальные VPN-сервера требуют наличия публичного "белого" IP-адреса. Обращаем ваше внимание, что данная возможность реализована на нашем облачном сервере и доступно только для пользователей Keenetic.
Что касается туннельного протокола PPTP, он наиболее прост и удобен в настройке, но потенциально уязвим, в сравнении с другими типами VPN. Тем не менее лучше использовать его, чем не применять VPN вовсе.
Для опытных пользователей к этому списку можно добавить:
WireGuard, OpenVPN
OpenVPN очень популярен, но чрезвычайно ресурсоемкий и не имеет особых преимуществ против IPSec. В интернет-центре Keenetic для подключения OpenVPN реализованы такие возможности как режим TCP и UDP, аутентификация TLS, использование сертификатов и ключей шифрования для повышения уровня безопасности VPN-подключения.
Современный протокол WireGuard сделает работу с VPN проще и быстрее (в несколько раз в сравнении с OpenVPN) без наращивания мощности железа в устройстве.
Для мобильных устройств, и организации удаленного подключения к роутеру, используйте:
IKEv2
Клиент IKEv2 EAP (Логин/Пароль) является встроенным в Android, iOS, MacOS, Windows.
Для объединения сетей и организации Site-to-Site VPN используйте:
IPSec, L2TP over IP (L2TP/IPSec), WireGuard
Для решения специализированных задач по объединению сетей:
EoIP, GRE, IPIP
IPSec является одним из самых безопасных протоколов VPN за счет использования криптостойких алгоритмов шифрования. Он является идеальным вариантом для создания подключений типа Site-to-Site VPN для объединения сетей. Кроме этого для профессионалов и опытных пользователей имеется возможность создавать туннели IPIP, GRE, EoIP как в простом виде, так и в сочетании с туннелем IPSec, что позволит использовать для защиты этих туннелей стандарты безопасности IPSec VPN. Поддержка туннелей IPIP, GRE, EoIP позволяет установить VPN-соединение с аппаратными шлюзами, Linux-маршрутизаторами, компьютерами и серверами с ОС UNIX/Linux, а также с другим сетевым и телекоммуникационным оборудованием, имеющих поддержку указанных туннелей. Настройка туннелей данного типа доступна только в интерфейсе командной строки (CLI) интернет-центра.
Дополнительную информацию, по настройке разных типов VPN в интернет-центрах Keenetic, вы найдете в инструкциях: