Типи VPN в маршрутизаторах Keenetic
VPN (Virtual Private Network - Віртуальна приватна мережа) — загальна назва технологій, які забезпечують одне або кілька мережевих з'єднань (тунелів) через іншу мережу (наприклад, Інтернет).
Існує багато причин для використання віртуальних приватних мереж. Найпоширенішими з них є безпека та конфіденційність даних. Конфіденційність оригінальних даних користувача гарантується за допомогою засобів захисту даних у віртуальних приватних мережах.
Відомо, що IP (Internet Protocol) мережі мають вразливість через структуру протоколу. Немає засобів захисту переданих даних і немає гарантії того, що відправник є тим, за кого він себе видає. Дані в мережі IP можуть бути легко підроблені або перехоплені.
Ми рекомендуємо використовувати VPN підключення для доступу з Інтернету до домашнього сервера, файлів флешки, підключеної до маршрутизатора чи відеореєстратора, або до робочого столу комп'ютера через протокол RDP. У цьому випадку вам не доведеться турбуватися про безпеку переданих даних, оскільки VPN з'єднання між клієнтом і сервером зазвичай зашифроване.
Пристрої Keenetic підтримують наступні типи VPN-з'єднання:
PPTP/SSTP
L2TP over IPSec (L2TP/IPSec)
WireGuard
OpenVPN
IPSec
IKEv2
OpenConnect
GRE/IPIP/EoIP
IPSec Xauth PSK (Virtual IP)
За допомогою маршрутизатора Keenetic вашу домашню мережу можна підключити через VPN до загальнодоступної служби VPN, офісної мережі або іншого пристрою Keenetic, незалежно від типу підключення до Інтернету.
VPN-клієнти/сервери для безпечного доступу (PPTP, L2TP через IPsec, IKEv2, Wireguard, OpenVPN, SSTP, OpenConnect), а також тунелі для з'єднання мереж (IPsec Site-to-Site, EoIP (Ethernet через IP), GRE, IPIP (IP через IP) реалізовані на всіх пристроях Keenetic.
Залежно від використовуваних протоколів та призначення, VPN може забезпечити підключення в різних сценаріях: хост-хост, хост-мережа, хости-мережа, клієнт-сервер, клієнти-сервер, роутер-роутер, роутери-роутер (VPN-концентратор), мережа-мережа (site-to-site).
Якщо ви не знаєте, який тип VPN вибрати, зробити вибір вам допоможуть таблиці та рекомендації нижче.
Тип VPN | Клієнт | Сервер | Апаратне прискорення | Кількість одночасних підключень |
---|---|---|---|---|
PPTP | + | + | - |
|
SSTP | + | + | - |
|
OpenConnect | + | + | - |
|
L2TP over IPSec | + | + | + |
|
WireGuard | + | + | - | до 32 |
IPSec | + | + | + | немає обмежень |
IKEv2 | + | + | + | до 32 |
GRE / IPIP / EoIP | + | + | - | до 128 |
OpenVPN | + | + | - | до 128 |
IPSec Xauth PSK | - | + | + | до 32 |
*
— у моделях Starter, Runner 4G, Launcher, Explorer, Carrier, використовується тільки прискорення алгоритму AES, а в Skipper, Тitan, Hero, Giant, Peak, Hopper використовується апаратне прискорення всього протоколу IPsec.
**
— до 200
для Hero, Peak і Titan; до 150
для Carrier DSL; до 100
для Starter, Launcher, Explorer та Carrier.
***
— починаючи з KeeneticOS 3.7
кількість з'єднань WireGuard збільшено до 128
для моделей на основі ARM (KN-2710, KN-1811, KN-1012, KN-3811, KN-3812), а також до 48
для KN-1011, KN-1810, KN-1912, KN-2311, KN-2610 і KN-3013.
****
— до KeeneticOS 3.3
, було обмеження 10
з'єднань для Hero (KN-1011), Titan (KN-1810) та 5
для всіх інших моделей.
Важливо
Кількість клієнтських з'єднань обмежена об'ємом пам'яті (24 Kbytes
), виділеним для зберігання VPN конфігурацій. Це особливо важливо для OpenVPN з'єднань, загальний розмір їх конфігурацій не повинен перевищувати 24 Kbytes
.
Для сучасних моделей Keenetic з індексом KN-xxxx розмір сховища, де конфігураційний файл startup-config та змінні середовища (включаючи ключі) розміщуються у стислому вигляді, збільшено від 260 Кбайт до 2 Мбайт (залежно від моделі).
Тип VPN | Рівень складності | Рівень захисту даних | Швидкість | Ресурсоємність | OS integration |
---|---|---|---|---|---|
PPTP | для звичайних користувачів | низький | середня | низька | Windows, macOS, Linux, Android, iOS (up to and including v9.) |
SSTP | для звичайних користувачів | високий | середньо-низька, працює через хмару | середня | Windows |
OpenConnect | для звичайних користувачів | високий | середньо-низька, працює через хмару | середня | not available |
L2TP over IPSec | для звичайних користувачів | високий | висока | висока | Windows, macOS, Linux, Android, iOS |
WireGuard | для просунутих користувачів | дуже високий | висока | низька | not available |
IPSec | для професіоналів | дуже високий | висока | висока | Windows, macOS, Linux, Android, iOS |
IKEv2 | для звичайних користувачів | високий | висока | висока | Windows, macOS, Linux, iOS |
OpenVPN | для просунутих користувачів | дуже високий | низька | дуже висока | not available |
IPSec Xauth PSK | для звичайних користувачів | високий | висока | висока | Android, iOS |
*
— для налаштування з'єднання вам потрібно буде встановити додаткове безкоштовне програмне забезпечення в операційних системах Windows, macOS, Linux, Android, iOS.
**
— значення відносні, це не точні цифри, тому що швидкості для VPN-з'єднань залежить від моделі і ще декількох факторів - типу використовуваних алгоритмів шифрування, кількості одночасних з'єднань, типу підключення до Інтернету, швидкості і завантаженості Інтернет-каналу, навантаження на сервер та інших факторів. Приймаємо за низьку швидкість до 15 Мбіт/с
, середню швидкість коло 30 - 50 Мбіт/с
, і за високу швидкість — більше 70 Мбіт/с
.
Важливо
Ви можете отримати максимальну швидкість підключення VPN за допомогою моделей Peak (KN-2710), Hero (KN-1012), Hopper (KN-3811/3812), Sprinter (KN-3711/3712), Challenger SE (KN-3911) та Titan (KN-1811). Це високопродуктивні моделі, завдяки енергоефективному 2-ядерному процесору ARM Cortex-A53 1,35 ГГц та MT7981 1,3 ГГц (Mediatek Filogic 820) та збільшеній ємності оперативної пам'яті, що підвищує пікові швидкості ресурсоємних протоколів OpenVPN та IPsec до 150-200 Мбіт/с
.
Ось приклади максимальних швидкостей для різних типів VPN, які були отримані в нашій тестовій лабораторії: WireGuard — 450 Мбіт/с
; IPsec — 220 Мбіт/с
; L2TP/IPsec — 160 Мбіт/с
; SSTP (в режимі прямого доступу) — 110 Мбіт/с
; OpenConnect (в режимі прямого доступу) — 130 Мбіт/с
; OpenVPN — 200 Мбіт/с
; PPTP (з MPPE) — більше 500 Мбіт/с
.
Тип VPN | Переваги | Недоліки |
---|---|---|
PPTP | популярний, висока сумісність з клієнтами | низький рівень захисту даних, в порівнянні з іншими протоколами VPN |
SSTP | можливість роботи VPN-сервера з використанням приватної IP-адреси для доступу в Інтернет | вбудований клієнт тільки для Windows, низька швидкість передачі даних при роботі через хмару |
OpenConnect | можливість роботи VPN-сервера з використанням приватної IP-адреси для доступу в Інтернет | не входить в сучасні ОС |
L2TP over IPSec | безпека, стабільність, висока сумісність з клієнтами | не входить в Андроїд (потрібно використовувати додаткове безкоштовне програмне забезпечення), використовуються стандартні порти, що дозволяє Інтернет-провайдеру або системному адміністратору блокувати трафік |
WireGuard | сучасні протоколи безпеки даних, низька ресурсоємність, висока швидкість передачі даних | не входить в сучасні ОС |
IPSec | надійність, дуже високий рівень захисту даних | налаштування складне для звичайних користувачів |
IKEv2 | надійність, дуже високий рівень захисту даних, просте налаштування, підтримує пристрої Blackberry | використовуються стандартні порти, що дозволяє Інтернет-провайдеру або системному адміністратору блокувати трафік |
OpenVPN | високий рівень захисту даних, використання протоколу HTTPS (TCP/443) | не входить в сучасні ОС, дуже ресурсоємний, низька швидкість передачі даних |
IPSec Xauth PSK | безпека, входить в сучасні мобільні ОС | відсутність підтримки клієнта в ОС ПК |
*
— Ця функція реалізована на нашому хмарному сервері як спеціальне програмне розширення і доступна тільки для користувачів пристроїв Keenetic.
У більшості випадків для віддалених з'єднань клієнт-сервер рекомендуємо такі протоколи:
L2TP over IPSec (L2TP/IPSec), PPTP, IPSec Xauth PSK, SSTP, OpenConnect
У багатьох моделях Keenetic передача даних через IPsec (в тому числі L2TP over IPsec і IKEv2) апаратно прискорюється за допомогою процесора пристрою. Вам не доведеться турбуватися про конфіденційність IP-телефонії або потоків відеоспостереження в такому тунелі.
Якщо ваш Інтернет-провайдер надає вам публічну IP-адресу, рекомендуємо звернути увагу на IKEv2, також відомий як IPsec virtual server (Xauth PSK), і L2TP over IPsec сервер. Вони цікаві тим, що забезпечують безпечний доступ до вашої домашньої мережі зі смартфона, планшета або комп'ютера з мінімальною конфігурацією: Android, iOS та Windows мають зручні вбудовані клієнти для цих типів VPN. Для IKEv2 на Андроїд скористайтеся безкоштовним популярним VPN-клієнт StrongSwan.
IKEv2 і L2TP/IPsec можна вважати найкращим універсальним варіантом.
Якщо ваш провайдер надає вам лише приватну IP-адресу для серфінгу в Інтернеті, і ви не можете отримати публічну IP, ви все одно можете організувати віддалений доступ до домашньої мережі за допомогою сервера VPN SSTP або OpenConnect. Основна перевага SSTP і OpenConnect тунелю - це його здатність працювати через хмару, тобто він дозволяє встановити зв'язок між клієнтом і сервером, навіть якщо з обох сторін є приватні IP-адреси. Усі інші сервери VPN вимагають публічної IP-адреси. Зверніть увагу, що ця функція реалізована на нашому хмарному сервері і доступна тільки для користувачів Keenetic
Що стосується тунельного протоколу PPTP , він найпростіший і зручний в налаштуванні, але потенційно вразливий в порівнянні з іншими типами VPN. Однак краще використовувати його, ніж не використовувати VPN взагалі.
А для просунутих користувачів ми можемо додати наступні VPN-сервіси до списку:
WireGuard, OpenVPN
OpenVPN дуже популярний, але надзвичайно ресурсоємний і не має особливих переваг проти IPsec. Пристрої Keenetic підтримують TCP і UDP режими, TLS автентифікацію, сертифікати та ключі шифрування для підвищення безпеки VPN-з'єднання OpenVPN.
Сучасний протокол WireGuard полегшить і пришвидшить роботу з VPN (в кілька разів порівняно з OpenVPN) без збільшення споживання потужності апаратного забезпечення в роутері.
Для мобільних пристроїв та організації віддаленого підключення до маршрутизатора використовуйте:
IKEv2
Клієнт IKEv2 EAP (Логін/Пароль) вбудований в Android, iOS, MacOS, Windows.
Для з'єднання мереж та організацій використовуйте Site-to-site VPN:
IPSec, L2TP over IP (L2TP/IPSec), WireGuard
Для вирішення специфічних завдань взаємодії мереж використовуйте:
EoIP, GRE, IPIP
IPsec є одним з найбезпечніших протоколів VPN завдяки своїм крипто-безпечним алгоритмам шифрування. Це найкращий варіант для встановлення VPN-з'єднань Site-to-Site для взаємозв'язку мереж. Професіонали та просунуті користувачі можуть створювати IPIP, GRE, EoIP тунелі як в чистому вигляді, так і в поєднанні з тунелями IPsec, що дозволить використовувати стандарти безпеки IPsec VPN захисту цих тунелів. Підтримка для IPIP, GRE, EoIP тунелів дозволяє встановити VPN-з'єднання з апаратними шлюзами, маршрутизаторами Linux, комп'ютерами та серверами UNIX/Linux, а також іншим мережевим та телекомунікаційним обладнанням, що підтримує ці тунелі. Налаштування тунелів такого типу доступне тільки в Інтерфейсі командного рядка(CLI) маршрутизатора.
Для отримання додаткової інформації про налаштування різних типів VPN в пристроях Keenetic ознайомтеся з інструкцією: