Загрузка

VPN (Virtual Private Network) — подробное руководство

В этом разделе разберём, что такое VPN, зачем он нужен, виды, принципы работы, плюсы и минусы, а также практические примеры настройки (MikroTik, WireGuard, OpenVPN).


1. Что такое VPN

VPN (виртуальная частная сеть) — это технология, позволяющая создавать защищённое соединение поверх публичной сети (например, интернета) между компьютерами или сетями, так что данные передаются «как внутри частной сети».

Основные задачи VPN:

  • Защита трафика (шифрование),

  • Обход ограничений/блокировок (например, географических),

  • Объединение филиалов в корпоративную сеть через интернет,

  • Доступ к внутренним ресурсам из внешней сети.

VPN работает «туннелем»: один IP-пакет оборачивается в другой, который может проходить через интернет, а на приёмной стороне происходит распаковка.


2. Основные виды VPN

2.1 По назначению

  1. Site-to-Site (Сеть–Сеть)

    • Соединяет две локальные сети через интернет.

    • Пользователи внутри каждой сети получают доступ к ресурсам другой сети.

    • Часто используется для филиалов компании.

  2. Remote Access (Удалённый доступ)

    • Подключение отдельного компьютера (или мобильного устройства) к корпоративной сети.

    • Работает для сотрудников на удалёнке.


2.2 По протоколу/технологии

Протокол / тип Принцип Плюсы Минусы
WireGuard Современный, лёгкий VPN на базе криптографии Curve25519 Высокая скорость, простой конфиг, надежное шифрование Новый, меньше совместимости с устаревшими устройствами
OpenVPN SSL/TLS туннель Совместим с Linux, Windows, macOS, мобильные Медленнее WireGuard, сложнее конфигурировать
IPSec (IKEv2, L2TP/IPSec) Стандартный протокол для туннелей Широко поддерживается Более сложный конфиг, медленнее на слабом железе
PPTP Старый протокол, почти не используется Прост в настройке Ненадёжное шифрование, уязвим

3. Основные компоненты VPN

  1. VPN-сервер — точка, к которой подключаются клиенты.
  2. VPN-клиент — устройство, которое устанавливает туннель.
  3. Туннель — зашифрованный канал передачи данных.
  4. Маршрутизация / NAT — определяет, какой трафик идёт через VPN, а какой — напрямую в интернет.

Пример: у вас домашний компьютер подключается к корпоративной сети через VPN. Все запросы к внутренним серверам идут через туннель, а остальной интернет может идти напрямую или через VPN, в зависимости от настроек «split-tunnel».


4. Принципы работы

  1. Инициализация соединения: клиент шифрует свой трафик и направляет на сервер.
  2. Аутентификация: сервер проверяет ключи, сертификаты или логин/пароль.
  3. Установка туннеля: создается виртуальный интерфейс на клиенте и сервере.
  4. Передача данных: все пакеты, предназначенные для VPN-сети, идут через туннель.
  5. Дешифровка на приёмной стороне: сервер/клиент расшифровывает пакеты и передает их локально.

В WireGuard, например, туннель создаётся через виртуальный интерфейс wg0, каждому участнику выдаётся уникальный туннельный IP.


5. VPN и маршрутизация

  • Полный туннель (full tunnel): весь трафик клиента идёт через VPN, включая интернет.

  • Частичный туннель (split-tunnel): только определённые сети маршрутизируются через VPN, остальной интернет идёт напрямую.

Пример MikroTik (WireGuard, split-tunnel):

/interface wireguard add name=wg0 listen-port=51820 private-key="PRIVATE_KEY"
/ip address add address=10.127.127.1/24 interface=wg0

/peer add public-key="CLIENT_PUBLIC_KEY" allowed-address=10.127.127.2/32 endpoint-address=203.0.113.20 endpoint-port=51820

В allowed-address указывается, какие адреса клиента допустимы через туннель.


6. Преимущества VPN

  • Шифрование и защита трафика от прослушивания.

  • Возможность соединять сети через интернет, как будто они локальные.

  • Обход гео-блокировок и фильтров.

  • Универсальность: подходит для филиалов, удалённых сотрудников, мобильных устройств.


7. Минусы и ограничения

  • Зависимость от скорости и стабильности интернет-соединения.

  • Нагрузка на сервер (шифрование/дешифровка).

  • Возможные конфликты с NAT / CG-NAT у провайдеров.

  • Не всегда прозрачны для приложений, использующих нестандартные порты или протоколы с встроенным IP (FTP, SIP).


8. Настройка VPN на практике

8.1 WireGuard (MikroTik)

  • Создать интерфейс и IP для туннеля.

  • Добавить peer с публичным ключом клиента и AllowedIPs.

  • Настроить маршруты для нужных подсетей.

  • (Опционально) SNAT/masquerade для доступа в интернет через VPN.

8.2 OpenVPN (MikroTik или Linux)

  • Создать сервер (SSL/TLS или user/pass).

  • Выдать сертификаты клиентам.

  • Настроить IP pool для VPN-клиентов.

  • Прописать маршруты для внутренних сетей.


9. VPN и NAT: как связаны

  • VPN обычно создаёт виртуальный интерфейс, поэтому NAT часто не нужен для внутреннего трафика, если только не нужно выходить в интернет через VPN.

  • Для клиентов в локальной сети, которые хотят доступ к внешнему интернету через VPN-сервер, используют masquerade/SNAT на VPN-интерфейсе.

Пример: филиал подключается к центру через WireGuard. Все внутренние сети филиала доступны через туннель, интернет филиала идёт напрямую (split-tunnel), но для полного туннеля на сервере делаем SNAT.


10. Практические советы

  1. WireGuard предпочтителен для новых установок: прост, быстрый, безопасный.
  2. OpenVPN нужен для кроссплатформенной совместимости и случаев с SSL-only портами.
  3. Split-tunnel снижает нагрузку и увеличивает скорость интернет-соединения, но требует аккуратной настройки маршрутов.
  4. Фиксируйте туннельные IP для стабильности: для клиентов указывайте статические AllowedIPs, особенно если нужны port-forward.
  5. Для обхода блокировок лучше отдельный сервер/peer, чтобы не мешать основной корпоративной сети.