Skip to main content

Інструкція користувача

Типи VPN в маршрутизаторах Keenetic

VPN (Virtual Private Network - Віртуальна приватна мережа) — загальна назва технологій, які забезпечують одне або кілька мережевих з'єднань (тунелів) через іншу мережу (наприклад, Інтернет).

Існує багато причин для використання віртуальних приватних мереж. Найпоширенішими з них є безпека та конфіденційність даних. Конфіденційність оригінальних даних користувача гарантується за допомогою засобів захисту даних у віртуальних приватних мережах.

Відомо, що IP (Internet Protocol) мережі мають вразливість через структуру протоколу. Немає засобів захисту переданих даних і немає гарантії того, що відправник є тим, за кого він себе видає. Дані в мережі IP можуть бути легко підроблені або перехоплені.

Ми рекомендуємо використовувати VPN підключення для доступу з Інтернету до домашнього сервера, файлів флешки, підключеної до маршрутизатора чи відеореєстратора, або до робочого столу комп'ютера через протокол RDP. У цьому випадку вам не доведеться турбуватися про безпеку переданих даних, оскільки VPN з'єднання між клієнтом і сервером зазвичай зашифроване.

Пристрої Keenetic підтримують наступні типи VPN-з'єднання:

  • PPTP/SSTP

  • L2TP over IPSec (L2TP/IPSec)

  • WireGuard

  • OpenVPN

  • IPSec

  • IKEv2

  • OpenConnect

  • GRE/IPIP/EoIP

  • IPSec Xauth PSK (Virtual IP)

За допомогою маршрутизатора Keenetic вашу домашню мережу можна підключити через VPN до загальнодоступної служби VPN, офісної мережі або іншого пристрою Keenetic, незалежно від типу підключення до Інтернету.

VPN-клієнти/сервери для безпечного доступу (PPTP, L2TP через IPsec, IKEv2, Wireguard, OpenVPN, SSTP, OpenConnect), а також тунелі для з'єднання мереж (IPsec Site-to-Site, EoIP (Ethernet через IP), GRE, IPIP (IP через IP) реалізовані на всіх пристроях Keenetic.

Залежно від використовуваних протоколів та призначення, VPN може забезпечити підключення в різних сценаріях: хост-хост, хост-мережа, хости-мережа, клієнт-сервер, клієнти-сервер, роутер-роутер, роутери-роутер (VPN-концентратор), мережа-мережа (site-to-site).

Якщо ви не знаєте, який тип VPN вибрати, зробити вибір вам допоможуть таблиці та рекомендації нижче.

Тип VPN

Клієнт

Сервер

Апаратне прискорення*

Кількість одночасних підключень

PPTP

+

+

-

  • Клієнт: до 128

  • Сервер: до 100/150/200 залежно від моделі **

SSTP

+

+

-

  • Клієнт: до 128

  • Сервер: до 100/150/200 залежно від моделі **

OpenConnect

+

+

-

  • Клієнт: до 128

  • Сервер: до 100/150/200 залежно від моделі **

L2TP over IPSec

+

+

+

  • Клієнт: до 128

  • Сервер: без обмежень

WireGuard

+

+

-

до 32***

IPSec

+

+

+

немає обмежень ****

IKEv2

+

+

+

до 32

GRE / IPIP / EoIP

+

+

-

до 128

OpenVPN

+

+

-

до 128

IPSec Xauth PSK

-

+

+

до 32

* — у моделях Starter, Runner 4G, Launcher, Explorer, Carrier, використовується тільки прискорення алгоритму AES, а в Skipper, Тitan, Hero, Giant, Peak, Hopper використовується апаратне прискорення всього протоколу IPsec.

**до 200 для Hero, Peak і Titan; до 150 для Carrier DSL; до 100 для Starter, Launcher, Explorer та Carrier.

*** — починаючи з KeeneticOS 3.7 кількість з'єднань WireGuard збільшено до 128 для моделей на основі ARM (KN-2710, KN-1811, KN-1012, KN-3811, KN-3812), а також до 48 для KN-1011, KN-1810, KN-1912, KN-2311, KN-2610 і KN-3013.

**** — до KeeneticOS 3.3, було обмеження 10 з'єднань для Hero (KN-1011), Titan (KN-1810) та 5 для всіх інших моделей.

Важливо

Кількість клієнтських з'єднань обмежена об'ємом пам'яті (24 Kbytes), виділеним для зберігання VPN конфігурацій. Це особливо важливо для OpenVPN з'єднань, загальний розмір їх конфігурацій не повинен перевищувати 24 Kbytes.

Для сучасних моделей Keenetic з індексом KN-xxxx розмір сховища, де конфігураційний файл startup-config та змінні середовища (включаючи ключі) розміщуються у стислому вигляді, збільшено від 260 Кбайт до 2 Мбайт (залежно від моделі).

Тип VPN

Рівень складності

Рівень захисту даних

Швидкість**

Ресурсоємність

OS integration

PPTP

для звичайних користувачів

низький

середня

низька

Windows, macOS, Linux, Android, iOS (up to and including v9.)

SSTP

для звичайних користувачів

високий

середньо-низька, працює через хмару

середня

Windows

OpenConnect

для звичайних користувачів

високий

середньо-низька, працює через хмару

середня

not available*

L2TP over IPSec

для звичайних користувачів

високий

висока

висока

Windows, macOS, Linux, Android, iOS

WireGuard

для просунутих користувачів

дуже високий

висока

низька

not available*

IPSec

для професіоналів

дуже високий

висока

висока

Windows, macOS, Linux, Android, iOS

IKEv2

для звичайних користувачів

високий

висока

висока

Windows, macOS, Linux, iOS

OpenVPN

для просунутих користувачів

дуже високий

низька

дуже висока

not available*

IPSec Xauth PSK

для звичайних користувачів

високий

висока

висока

Android, iOS

* — для налаштування з'єднання вам потрібно буде встановити додаткове безкоштовне програмне забезпечення в операційних системах Windows, macOS, Linux, Android, iOS.

** — значення відносні, це не точні цифри, тому що швидкості для VPN-з'єднань залежить від моделі і ще декількох факторів - типу використовуваних алгоритмів шифрування, кількості одночасних з'єднань, типу підключення до Інтернету, швидкості і завантаженості Інтернет-каналу, навантаження на сервер та інших факторів. Приймаємо за низьку швидкість до 15 Мбіт/с, середню швидкість коло 30 - 50 Мбіт/с, і за високу швидкість — більше 70 Мбіт/с.

Важливо

Ви можете отримати максимальну швидкість підключення VPN за допомогою моделей Peak (KN-2710), Hero (KN-1012), Hopper (KN-3811/3812), Sprinter (KN-3711/3712), Challenger SE (KN-3911) та Titan (KN-1811). Це високопродуктивні моделі, завдяки енергоефективному 2-ядерному процесору ARM Cortex-A53 1,35 ГГц та MT7981 1,3 ГГц (Mediatek Filogic 820) та збільшеній ємності оперативної пам'яті, що підвищує пікові швидкості ресурсоємних протоколів OpenVPN та IPsec до 150-200 Мбіт/с.

Ось приклади максимальних швидкостей для різних типів VPN, які були отримані в нашій тестовій лабораторії: WireGuard450 Мбіт/с; IPsec220 Мбіт/с; L2TP/IPsec160 Мбіт/с; SSTP (в режимі прямого доступу) — 110 Мбіт/с; OpenConnect (в режимі прямого доступу) — 130 Мбіт/с; OpenVPN200 Мбіт/с; PPTP (з MPPE) — більше 500 Мбіт/с.

Тип VPN

Переваги

Недоліки

PPTP

популярний, висока сумісність з клієнтами

низький рівень захисту даних, в порівнянні з іншими протоколами VPN

SSTP

можливість роботи VPN-сервера з використанням приватної IP-адреси для доступу в Інтернет *, через протокол HTTPS (TCP/443)

вбудований клієнт тільки для Windows, низька швидкість передачі даних при роботі через хмару

OpenConnect

можливість роботи VPN-сервера з використанням приватної IP-адреси для доступу в Інтернет *, через протокол HTTPS (TCP/443)

не входить в сучасні ОС

L2TP over IPSec

безпека, стабільність, висока сумісність з клієнтами

не входить в Андроїд (потрібно використовувати додаткове безкоштовне програмне забезпечення), використовуються стандартні порти, що дозволяє Інтернет-провайдеру або системному адміністратору блокувати трафік

WireGuard

сучасні протоколи безпеки даних, низька ресурсоємність, висока швидкість передачі даних

не входить в сучасні ОС

IPSec

надійність, дуже високий рівень захисту даних

налаштування складне для звичайних користувачів

IKEv2

надійність, дуже високий рівень захисту даних, просте налаштування, підтримує пристрої Blackberry

використовуються стандартні порти, що дозволяє Інтернет-провайдеру або системному адміністратору блокувати трафік

OpenVPN

високий рівень захисту даних, використання протоколу HTTPS (TCP/443)

не входить в сучасні ОС, дуже ресурсоємний, низька швидкість передачі даних

IPSec Xauth PSK

безпека, входить в сучасні мобільні ОС

відсутність підтримки клієнта в ОС ПК

* — Ця функція реалізована на нашому хмарному сервері як спеціальне програмне розширення і доступна тільки для користувачів пристроїв Keenetic.

У більшості випадків для віддалених з'єднань клієнт-сервер рекомендуємо такі протоколи:

  • L2TP over IPSec (L2TP/IPSec), PPTP, IPSec Xauth PSK, SSTP, OpenConnect

У багатьох моделях Keenetic передача даних через IPsec (в тому числі L2TP over IPsec і IKEv2) апаратно прискорюється за допомогою процесора пристрою. Вам не доведеться турбуватися про конфіденційність IP-телефонії або потоків відеоспостереження в такому тунелі.

Якщо ваш Інтернет-провайдер надає вам публічну IP-адресу, рекомендуємо звернути увагу на IKEv2, також відомий як IPsec virtual server (Xauth PSK), і L2TP over IPsec сервер. Вони цікаві тим, що забезпечують безпечний доступ до вашої домашньої мережі зі смартфона, планшета або комп'ютера з мінімальною конфігурацією: Android, iOS та Windows мають зручні вбудовані клієнти для цих типів VPN. Для IKEv2 на Андроїд скористайтеся безкоштовним популярним VPN-клієнт StrongSwan.

IKEv2 і L2TP/IPsec можна вважати найкращим універсальним варіантом.

Якщо ваш провайдер надає вам лише приватну IP-адресу для серфінгу в Інтернеті, і ви не можете отримати публічну IP, ви все одно можете організувати віддалений доступ до домашньої мережі за допомогою сервера VPN SSTP або OpenConnect. Основна перевага SSTP і OpenConnect тунелю - це його здатність працювати через хмару, тобто він дозволяє встановити зв'язок між клієнтом і сервером, навіть якщо з обох сторін є приватні IP-адреси. Усі інші сервери VPN вимагають публічної IP-адреси. Зверніть увагу, що ця функція реалізована на нашому хмарному сервері і доступна тільки для користувачів Keenetic

Що стосується тунельного протоколу PPTP , він найпростіший і зручний в налаштуванні, але потенційно вразливий в порівнянні з іншими типами VPN. Однак краще використовувати його, ніж не використовувати VPN взагалі.

А для просунутих користувачів ми можемо додати наступні VPN-сервіси до списку:

  • WireGuard, OpenVPN

OpenVPN дуже популярний, але надзвичайно ресурсоємний і не має особливих переваг проти IPsec. Пристрої Keenetic підтримують TCP і UDP режими, TLS автентифікацію, сертифікати та ключі шифрування для підвищення безпеки VPN-з'єднання OpenVPN.

Сучасний протокол WireGuard полегшить і пришвидшить роботу з VPN (в кілька разів порівняно з OpenVPN) без збільшення споживання потужності апаратного забезпечення в роутері.

Для мобільних пристроїв та організації віддаленого підключення до маршрутизатора використовуйте:

  • IKEv2

Клієнт IKEv2 EAP (Логін/Пароль) вбудований в Android, iOS, MacOS, Windows.

Для з'єднання мереж та організацій використовуйте Site-to-site VPN:

  • IPSec, L2TP over IP (L2TP/IPSec), WireGuard

Для вирішення специфічних завдань взаємодії мереж використовуйте:

  • EoIP, GRE, IPIP

IPsec є одним з найбезпечніших протоколів VPN завдяки своїм крипто-безпечним алгоритмам шифрування. Це найкращий варіант для встановлення VPN-з'єднань Site-to-Site для взаємозв'язку мереж. Професіонали та просунуті користувачі можуть створювати IPIP, GRE, EoIP тунелі як в чистому вигляді, так і в поєднанні з тунелями IPsec, що дозволить використовувати стандарти безпеки IPsec VPN захисту цих тунелів. Підтримка для IPIP, GRE, EoIP тунелів дозволяє встановити VPN-з'єднання з апаратними шлюзами, маршрутизаторами Linux, комп'ютерами та серверами UNIX/Linux, а також іншим мережевим та телекомунікаційним обладнанням, що підтримує ці тунелі. Налаштування тунелів такого типу доступне тільки в Інтерфейсі командного рядка(CLI) маршрутизатора.

Для отримання додаткової інформації про налаштування різних типів VPN в пристроях Keenetic ознайомтеся з інструкцією: