Андрей Смирнов
Время чтения: ~23 мин.
Просмотров: 2

Vpn на роутере (преимущества и недостатки)

VyprVPN

  • Собственное приложение сервиса для роутеров предоставит вам больше вариантов настройки (доступно только для прошивки Tomato)
  • Подробные руководства по установке на роутеры упростят вам жизнь
  • Подходит для занятий, требующих больших объемов трафика (кроме P2P)
  • Нет бесплатного пробного периода или гарантии возврата денег.

VyprVPN — это очень интересный вариант, ведь здесь есть собственный протокол сокрытия трафика, более 200 000 доступных IP-адресов, а качество работы сервиса остается неизменно высоким даже при экстремальных нагрузках.

Если же учитывать и роутеры, то все становится еще лучше. Так, у VyprVPN есть собственное приложение для роутеров — специальный плагин, добавляющий полезные функции (например, вы сможете выбрать, какие из устройств вашей домашней сети нужно подключить к VPN; также вам будет проще переподключаться к VPN-серверам).

Это приложение можно назвать козырем VyprVPN, вот только совместимо оно только с прошивкой Tomato MIPS/ARM.

Это не значит, что VyprVPN не будет работать на роутерах с другой прошивкой — будет, просто владельцы роутеров на DD-WRT не получат доступ к различным функциям специального приложения сервиса.

Что же касается техподдержки, то команда VyprVPN готова помочь вам круглосуточно. На сайте сервиса также можно найти подробные руководства по установке и настройке.

Впрочем, учесть нужно и кое-что еще — например, позицию этого VPN-сервиса по вопросам, связанным с P2P. Скажем так, если вы не мыслите жизни без торрентов, то лучше бы вам найти другой VPN. Дело в том, что компания Golden Frog (которой принадлежит VyprVPN) подчиняется запросам DMCA.

Нет здесь и гарантии возврата средств, так что вы в принципе не сможете вернуть деньги, если заплатите их сервису за подписку. И хотя это, вне всякого сомнения, сервис качественный и достойный, вот вам наш добрый совет: прочитайте подробный обзор VyprVPN and и убедитесь, что он подходит вам полностью.

Варианты построения домашней локальной сети

При создании домашней локальной сети, чаще всего, применяют два варианта:

  1. соединяют два компьютера (ПК с ноутбуком, ПК с ПК и пр.) с помощью кабеля (его называют часто витой парой);
  2. приобретают спец. «коробочку», называемую Wi-Fi роутером. К роутеру, с помощью сетевого кабеля, подключают ПК, а ноутбуки, телефоны, планшеты и пр. устройства — получают доступ в интернет по Wi-Fi (самый популярный вариант на сегодняшний день).

Вариант №1 — соединение 2 ПК с помощью витой пары

Плюсы: простота и дешевизна (нужно 2 вещи: сетевая карта, и сетевой кабель); обеспечение достаточно высокой скорости, что не каждый роутер способен выдать, меньшее ко-во радиоволн в помещении.

Минусы: лишние провода создают путаницу, мешаются; после переустановки ОС Windows — требуется настройка сети вновь; чтобы интернет-доступ был на втором ПК (2), первый ПК (1) — должен быть включен.

Что необходимо: чтобы в каждом ПК была сетевая карта, сетевой кабель. Если планируете соединить более 2 ПК в локальную сеть (или чтобы один ПК был подключен к интернету, и одновременной был в локальной сети) — на одном из ПК должно быть 2-3 и более сетевых карт.

В общем-то, если на обоих ПК есть сетевые карты, и у вас есть сетевой кабель (так же называют Ethernet-кабель) — то соединить их при помощи него не представляет ничего сложного. Думаю, здесь рассматривать особо нечего.

Прим.: обратите внимание, обычно на сетевых картах начинает загораться зеленый (желтый) светодиод, когда вы подключаете к ней кабель

Два ноутбука соединенных кабелем

Еще один важный момент!

Сетевые кабели в продажи разные: причем не только цветом и длиной 

. Дело в том, что есть кабели для подключения компьютера к компьютеру, а есть те, которые используются для подключения ПК к роутеру.

Для нашей задачи нужен кроссированный сетевой кабель (или кабель, опресованный перекрестным способом — здесь кто как называет).

В кроссированном кабеле — на концевых разъемах меняются местами желтая и зеленая пары; в стандартном (для подключения ПК к роутеру) — цвета контактов одинаковые.

Витая пара // сетевой кабель

В общем, если два ПК включены, работают, вы соединили их кабелем (светодиоды на сетевых картах заморгали), значок сети рядом с часами перестал отображать красный крестик — значит ПК нашел сеть и ждет ее настройки. Этим мы и займемся во втором разделе данной статьи.

Вариант №2 — соединение 2-3 и более ПК с помощью роутера

Плюсы: большинство устройств: телефоны, планшеты, ноутбуки и пр. получат доступ к сети Wi-Fi; меньшее количество проводов «под ногами», после переустановки Windows — интернет будет работать.

Минусы: приобретение роутера (все-таки, некоторые модели далеко не дешевы); «сложная» настройка устройства; радиоволны роутера могут влиять на здоровье., более низкий пинг и подвисания (если роутер не будет справляться с нагрузкой).

Что необходимо: роутер (в комплекте к нему, обычно, идет сетевой кабель для подключения одного ПК к нему).

С подключением роутера, как правило, тоже проблем больших нет: кабель, идущий от интернет-провайдера, подключается в спец. разъем роутера (он часто так и называется — «Internet»), а к другим разъемам («Lan-порты») подключаются локальные ПК. Т.е. роутер становится посредником (примерная схема показана на скриншоте ниже. Кстати, в этой схеме модема справа может и не быть, все зависит от вашего интернет-подключения).

Схема подключения к интернету через роутер

Кстати, обратите внимание на светодиоды на корпусе роутера: при подключении интернет-кабеля от провайдера, от локального ПК — они должны загореться и моргать. Вообще, настройка Wi-Fi роутера — это отдельная большая тема, к тому же для каждого роутера — инструкция будет несколько отличаться

Поэтому дать универсальных рекомендаций в одной отдельно взятой статье — вряд ли возможно…

Кстати, при подключении через роутер — локальная сеть, обычно, настраивается автоматически (т.е. все компьютеры, подключенные по сетевому кабелю — должны уже быть в локальной сети, останется пару небольших штрихов (о них ниже)). Главная же задача после этого — это настроить Wi-Fi подключение и доступ к интернету. Но т.к

эта статья про локальную сеть, на этом внимание я не заостряю…

Зачем вам может понадобиться VPN-роутер

Прежде, чем мы начнем, давайте проясним кое-что: конечная цель VPN-роутера точно такая же, как и у любого десктопного и мобильного VPN-приложения. Но в одном они сильно отличаются.

Что это значит? Если вы уже пользуетесь услугами VPN-сервиса премиум-класса (например, ExpressVPN или NordVPN), вы уже знаете, насколько просто зашифровать свое подключение и защитить себя в Интернете. Но эта защита распространяется только на разрешенное вашим VPN-провайдером количество подключенных устройств и только на ваши собственные устройства.

Ограничения есть везде. VPN-роутеры же предлагают решение этой потенциальной проблемы. Есть также другие уникальные преимущества VPN-защиты прямо от “источника Интернета” в доме.

Вот что VPN-роутеры могут вам предложить:

  • Неограниченное количество подключений.Подключаясь к VPN-сети через роутер, вы можете использовать сколько угодно устройств. Вы также можете делиться защищенным подключением с друзьями и гостями, не подключая их при этом к своему аккаунту (что почти всегда запрещено по условиям предоставления VPN-услуг).
  • Совместимость с большим количеством платформ.У вас есть приставка Smart TV? Или, может быть, стриминговая приставка — Apple TV, Amazon Fire TV или Chromecast? К сожалению, эти устройства не поддерживаются отдельно VPN-сетями. Хорошая новость в том, что вы все еще можете защитить их, подключив к VPN-роутеру. Несмотря на то, что лидирующие провайдеры предлагают специальные услуги для этих платформ (например, ExpressVPN и его MediaStreamer DNS), VPN-роутер гораздо лучше, если вы хотите не только шифровать данные, но и получать доступ к своим любимым шоу и сериалам по всему миру.
  • Вам нужно ввести логин и пароль только один раз.Многие пользователи часто забывают войти в свой VPN-аккаунт или настроить приложения так, чтобы они включались автоматически при запуске устройства. После того, как вы настроите VPN-роутер в первый раз, вам больше не нужно будет переживать по этому поводу. Да-да, вам нужно будет ввести логин и пароль только один раз, и дальше все будет работать так долго, как вы захотите! Если вы постоянно пользуетесь VPN-сетью через многие устройства, то это практичное и эффективное решение.
  • VPN-подключение будет доступно 24/7.Если у вас есть предпочтительный VPN-сервер, который вы постоянно используете, вы можете оставаться на нем постоянно (пока включен ваш роутер). Этого можно запросто добиться при помощи настройки автоподключения в VPN-приложениях, но с VPN-роутером все будет гораздо проще, не говоря уже о всех преимуществах, указанных выше.

У VPN-роутеров есть также и недостатки, о которых вам следует знать:

  • VPN-роутеры обычно дорогие.В большинстве случаев VPN-роутер нельзя назвать маленьким денежным вложением. Вам нужны специфические характеристики и функции, чтобы VPN-прошивка работала с роутером, и зачастую это означает, что самые простые устройства не справятся с этой задачей. Есть способы потратить меньше и сэкономить себе нервы — например, установить на роутер продвинутую прошивку (ЕСЛИ они совместимы) или сразу купить роутер, совместимый с VPN, если вам нужен новый. Подробнее об этом мы расскажем ниже.
  • Чем больше устройств подключено к роутеру, тем ниже его производительность.Загрузка сервера очень важна для эффективной работы вашего VPN-роутера. Если тщательно выбирать серверы, то это не должно стать серьезной проблемой, но имейте в виду, что чем больше у вас подключено устройств, тем больше шансов того, что скорость Интернет-подключения упадет. Самый важный фактор здесь — это скорость вашего Интернет-подключения, но выбор подходящего VPN-сервиса также играет важную роль.
  • Меньший выбор серверов.Предположим, что у вас есть два любимых VPN-сервера, между которыми вы регулярно переключаетесь. При подключении через VPN-клиент это легко сделать всего за пару кликов, но VPN-роутер не настолько гибкий – вы будете ограничены тем сервером, который указали в настройках, а сменить его сможете только через панель управления роутером. Некоторые роутеры можно настраивать так, чтобы была возможность подключаться не только к одному серверую Однако, через VPN-приложение это сделать значительно проще.

Как видите, у VPN-роутеров есть как свои плюсы, так и свои минусы. Но есть такие ситуации, в которых преимущества перевешивают все недостатки.

Сравнение VPN-протоколов

В нижеприведенной таблице мы подбили основные характеристики каждого протокола, и, таким образом, будет легче подобрать протокол, который подходит вам больше всего. Таблица сравнения VPN-протоколов:

ПротоколСкоростьШифрование и безопасный серфингСтабильностьСтриминг медиаресурсовСкачивание торрентовДоступность в приложениях CactusVPNСовместимость
PPTPБыстроПлохоСреднеХорошоХорошоWindowsБольшинство ОС и устройств
L2TP/IPSecБыстроСреднеХорошоХорошоХорошоWindowsБольшинство ОС и устройств
IKEv2/IPSecБыстроХорошоХорошоХорошоХорошоWindows, macOS и iOSБольшинство ОС и устройств
OpenVPN TCPСреднеХорошоХорошоСреднеХорошоWindows и AndroidБольшинство ОС и устройств
OpenVPN UDPБыстроХорошоСреднеХорошоХорошоWindows и AndroidБольшинство ОС и устройств
SSTPСреднеХорошоСреднеСреднеХорошоWindowsWindows
SoftEtherБыстроХорошоХорошоХорошоХорошоНетWindows

Шаг 4. Пинг моего другого устройства по адресу 172.16.x.x успешен, а как выполнить пинг другого устройства по его внутреннему адресу 192.168.x.x?

Дальше начинается действие, ради которого все и затевалось — получение одним устройством c ОС Windows доступа к внутренней сети, расположенной за вторым устройством (маршрутизатором). Эти действия связаны с наличием маршрутной информации о сети «за» маршуртизатором и почти аналогичны предыдущему шагу, но с некоторыми отличиями. Теперь нам необходимо не только обучить ваш Windows «знанию» о сети 172.16.0.0/16, что было выполнено на предыдущем шаге, но и дать ему информацию о сети, расположенной «за» маршрутизатором вашего второго туннеля.

Прежде чем приступить к этому шагу вы должны убедиться в том, что сеть «за» вашим маршрутизатором НЕ пересекается с сетью, в которую подключена ваша Windows машина. То есть, если ваш Windows находится в сети 192.168.0.0/24 (например дом) и такая же сеть 192.168.0.0/24 расположена за вторым устройством (например дача) то такая конфигурация будет некорректной и из нее есть два выхода:

— перенастроить одну из сетей на другую схему адресации, например 192.168.1.0/24

— осуществить трансляцию портов на вашем втором устройстве в адрес, полученный от сети vpnki 172.16.x.x (эту конфигурацию мы не будем рассматривать в рамках настоящего документа)

Итак, если вы имеете разные сети, то теперь нам необходимо сообщить вашему Windows устройству о наличии сети, например 192.168.1.0/24, расположенной за ваш вторым туннелем. Для этого вам необходимо на вашей персональной странице настроек vpnki, для второго вашего туннеля (например дача) отметить галочкой то, что вы настраиваете маршуртизатор и за ним расположена сеть 192.168.1.0/24. Примененная на этой странице настройка добавит эту сеть в протокол DHCP и передаст в ваше Windows устройство при следующем подключении. Проверить это вы сможете выполнив команду . В ее длинном выводе вы должны обнаружить следующую строку:

Сетевой адрес       Маска            Адрес шлюза         Интерфейс192.16.1.0          255.255.255.0    on-link             172.16.x.x — выданный вам адрес

Если по какой-то причине данная строка не появилась это означает, что протокол DHCP не отработал и маршрутная информация не получена. В этом случае имеет смысл разобраться в причине или добавить статический маршрут в ручном режиме. В качестве обходного маневра вы можете прописать маршрут к сети 192.168.1.0/24 выполнив команду (с правами администратора!)

После этого вы должны успешно выполнить пинг своего «другого устройства», подключенного к сети vpnki по его внутреннему адресу (например 192.168.1.1), выполнив команду

Однако обращаем внимание:

— на то, что второе устройство (маршрутизатор) должно содержать в своей таблце маршрутов путь к сети 172.16.0.0/16 для отправки ответов на ваш пинг.

— на втором вашем устройстве (маршрутизаторе) межсетевой экране не должен блокировать ответы на пакеты icmp

Результат этого шага — наличие маршрута к сети 192.168.1.0/24 в таблице маршрутов Windows устройства и/или успешный пинг вашего второго устройства по внутреннему адресу 192.168.1.x.

PS: В целях борьбы с зависшими сессиями мы принудительно отключаем пользовательские туннели с протоколами PPTP, L2TP, L2TP/IPsec через 24 часа после установления соединения. При правильной настройке соединения должны автоматически переустановиться.

ДОПОЛНИТЕЛЬНО ПО ТЕМЕ:

Ознакомьтесь с настройками и работой нашей услуги «Публикация URL», которая поможет вам организовать удаленный доступ по протоколам http и https к своим ресурсам

Озанакомьтесь с работой и настройками нашей услуги «Проброс TCP порта», которая поможет вам опубликовать в сети Интернет TCP порт вашего устройства для организации удаленного доступа

Ознакомьтесь с настройками и приниципами работы услуги «Доступ через HTTP и SOCKS5 прокси», которая даст вам возможность удаленного доступа такими протоколами и приложениями как HTTP, RDP, VNC, ssh и другими

Шаг 6 — Добавление необходимого модуля ядра

Создайте новый файл /etc/ppp/peers/pptpserver и добавьте туда следующие строчки, заменяя имя и пароль Вашими значениями:

Pty «pptp 198.211.104.17 —nolaunchpppd»
name box1
password 24oiunOi24
remotename PPTP
require-mppe-128

Здесь 198.211.104.17 — публичный IP-адрес нашего PPTP-сервера, box1 и 24oiunOi24 — это пара логин/пароль, которые мы задали в файле /etc/ppp/chap-secrets на нашем PPTP-сервере.

Теперь мы можем «вызывать» этот PPTP-сервер. В следующей команде необходимо использовать имя, которое Вы дали файлу с пирами (peers) в директории /etc/ppp/peers/ . Поскольку в нашем примере мы назвали этот файл pptpserver , наша команда выглядит следующим образом:

Pppd call pptpserver

Вы должны увидеть успешное подключение в логах PPTP-сервера:

На Вашем PPTP-клиенте настройте маршрутизацию на Вашу приватную сеть через интерфейс ppp0:

Ip route add 10.0.0.0/8 dev ppp0

Ваш интерфейс ppp0 должен быть настроен, что можно проверить путем запуска ifconfig

Теперь Вы можете сделать пинг к Вашему PPTP-серверу и любым другим клиентам, подключенным к этой сети:

Мы можем добавить второй PPTP-клиент к этой сети:

Yum -y install pptp
modprobe ppp_mppe

Добавьте необходимые строки в файл /etc/ppp/peers/pptpserver (заменяя логины и пароли своими):

Pty «pptp 198.211.104.17 —nolaunchpppd»
name box2
password 239Aok24ma
remotename PPTP
require-mppe-128

Теперь на втором клиенте выполните следующие команды:

Pppd call pptpserver
ip route add 10.0.0.0/8 dev ppp0

Вы можете сделать пинг к первому клиенту, при этом пакеты будут идти через PPTP-сервер и перенаправляться по правилам ip-таблиц, которые мы задали ранее:

Такая настройка позволит Вам создать Вашу собственную виртуальную частную сеть:

Если Вы хотите, чтобы все ваши устройства общались безопасно в рамках одной сети, это наиболее быстрый способ сделать это.

Вы можете использовать такой подход совместно с Nginx, Squid, MySQL и любыми другими приложениями.

Поскольку трафик внутри сети шифруется 128-битным шифрованием, PPTP меньше нагружает процессор, чем OpenVPN, но все же обеспечивает дополнительный уровень безопасности Вашего трафика.

Настройки в консоли

В окне консоли теперь будет доступно дерево установок. Желательно пройтись по
всем пунктам, чтобы разобраться, что где находится. Так, в пункте «Интерфейсы
сети» будут показаны все настроенные ранее сетевые интерфейсы. Выбрав в меню
пункт «Создать новый интерфейс вызова по требованию», можно добавить подключение
к VPN или PPPoE-серверам. Для просмотра списка протоколов, используемых портов и
их состояния переходим в «Порты». Кнопка «Настроить» в окне «Свойства» позволяет
изменить параметры работы выбранного протокола. Например, по умолчанию
количество PPTP-, L2TP- и SSTP-подключений (портов) ограничено 128, а также
разрешены все подключения (удаленного доступа и по требованию). В качестве
(необязательного) идентификатора сервера используется телефон, введенный в поле
«Номер телефона для этого устройства».

В пункте «Клиенты удаленного доступа» отображается список подключенных
клиентов. Цифра рядом с названием пункта подскажет их количество. При помощи
контекстного меню можно проверить состояние клиента и при необходимости его
отключить. Два пункта IPv4 и IPv6 позволяют настроить IP-фильтры, статические
маршруты, агент DHCP ретрансляции и некоторые другие параметры.

Когда все настройки завершены, можно попробовать подключиться клиентом. На
этом этапе часто сталкиваются с ошибкой 649: «Пользователь не имеет прав для
дозвона». По умолчанию проверка прав доступа пользователя производится
средствами Сервера политик сети – NPS. Проверить установки можно, зайдя в «Администрирование -> Управление компьютером –> Служебные программы -> Локальные
пользователи и группы». Поэтому при появлении такого сообщения разреши выбранной
группе подключаться к серверу политик (подробнее о NPS читай в статье «Сетевой
коп»).

Общие принципы работы и подключения

Мы рассмотрели достаточно кратко соединение PPTP. Что это такое, многим, наверное, уже хоть немного понятно. Полная ясность в вопрос будет внесена после рассмотрения основных принципов функционирования протокола и связи на его основе, а также в разделе, где будет показан процесс установки по шагам соединения PPTP GRE.

Итак, соединение между двумя точками устанавливается на основе обычной PPP-сессии на основе протокола GRE (инкапсуляция). Второе подключение непосредственно на порте TCP отвечает за управление GRE и инициацию.

Сам передаваемый пакет IPX состоит собственно из данных, иногда называемых полезной нагрузкой, и дополнительной управляющей информации. Что происходит при получении пакета на другом конце линии? Соответствующая программа для PPTP-соединения как бы извлекает содержащуюся в цельном пакете IPX информацию и отправляет ее на обработку при помощи средств, соответствующих собственному протоколу системы.

Кроме того, одной из важных составляющих туннельной передачи и приема основной информации является обязательное условие использования доступа при помощи комбинации «логин-пароль». Конечно, взломать логины и пароли на стадии получения можно, но вот в процессе передачи информации через защищенный коридор (туннель) — никак.

CyberGhost

  • Нет уникальных функций для роутеров, но качество работы стабильное и надежное
  • Баланс безопасности и скорости
  • Поддержка доступна в онлайн-чате
  • 45-дневная гарантия возврата денег

Если вам нужна хорошая иллюстрация для фразы «триумфальное возвращение», то взгляните на сервис CyberGhost.

После серьезного обновления всего и вся этот VPN-сервис быстро поднялся в рейтингах и стал одним из основных инструментов для всех, кто ищет защиту, надежность и доступ к заблокированному контенту. Тысячи серверов, отличная скорость и первоклассное шифрование —CyberGhost позволит вам стать настоящим «цифровым призраком».

А что самое приятное, знаете? Что все это можно объединить и с вашим роутером.

Здесь, правда, нет симпатичных приложений или возможности купить уже настроенный роутер, но зато CyberGhost без каких-либо проблем работает со всеми совместимыми устройствами. Настройка этого VPN не представляет собой ничего сверхъестественного, и после ее завершения вы сможете насладиться быстрым и стабильным подключением.

Вы можете работать как по детальным руководствам сервиса, так и связаться с техподдержкой CyberGhost в онлайн-чате, если вам потребуется дополнительная помощь. С каким бы вопросом вы ни обратились, от этого VPN-сервиса вы получите всю необходимую помощь.

Единственной причиной, по которой CyberGhost занял лишь 4-е место в нашем рейтинге, является отсутствие специальных «роутерных» функций. Это простой VPN-сервис, который отлично справляется со своей основной задачей — что, впрочем, вполне можно считать преимуществом.

Радует и то, что вы сможете проверить CyberGhost на деле и получить свои деньги обратно в течение 45 дней. Иными словами, вы ничем не рискуете!

Когда стоит задуматься о настройке VPN-роутера

Как мы уже упоминали выше, VPN-роутер может стать отличным решением, если вам нужна защита и конфиденциальность онлайн для большого количества устройств.

Мы хотим познакомить вас с нашим воображаемым другом Александром. Александр — владелец популярного кафе с несколькими сотнями посетителей в день, которых привлекают отличные напитки и супербыстрый Wi-Fi.

Александр не хочет, чтобы в его сети пировали хакеры и другие киберпреступники; он хочет, чтобы посетители были защищены в Интернете, потому что это хорошо сказывается на бизнесе.

Поэтому Александр решает вложить деньги в хороший VPN-роутер, который шифрует всю конфиденциальную информацию пользователей этой сети и дает посетителям возможность наслаждаться отличным кофе и вкусными смузи, спокойно просматривая веб-сайты.

С другой стороны, наша подруга Екатерина хочет запустить свой стартап. Прямо сейчас она не может себе позволить оплачивать работу целого отдела по кибербезопасности, так что она покупает для своей молодой компании VPN-роутер, который защитит все устройства организации в сети, а также все ее конфиденциальные данные.

Во всем мире множество таких условных Александров и Екатерин, и, может быть, даже вы находитесь в похожей ситуации! Если да, то вам точно стоит подумать над приобретением VPN-роутера для своего малого бизнеса или социальных мероприятий.

Мы не хотим никого обманывать, так что скажем, что вам может и не понадобиться онлайн-защита такого масштаба, в каком ее может предоставить VPN-роутер. Например, если вы пользуетесь VPN в основном самостоятельно, чтобы защитить только свои личные устройства. То же самое справедливо и в том случае, если вы пользуетесь VPN только время от времени и лишь для вполне тривиальных задач.

Также стоит отметить, что не все VPN-сервисы поддерживают необходимый функционал для роутеров. Если вы пользуетесь простым бесплатным VPN-провайдером, то, скорее всего, он не будет работать с роутером. Может получиться и еще хуже — вы сломаете в процессе настройки свой роутер и только добавите себе проблем.

Если вы серьезно настроены перейти на VPN-роутер (или просто хотите получить самые надежные VPN-услуги), советуем вам посмотреть предложения лучших VPN-провайдеров на рынке, а именно ExpressVPN и NordVPN. Благодаря их потрясающим возможностям и отличным скидкам, вы быстро поймете, почему они считаются премиум-провайдерами VPN, и вас совсем не смутит цена вопроса.

Что такое VPN-сервер и зачем он нужен?

VPN-сервер — это физический сервер, аппаратные и программные возможности которого позволяют подключаться к виртуальным частным сетям. Сфера применения VPN-сервера довольно широка. Чаще всего данная функция используется с целью:

  • анонимного доступа к интернету, позволяющего скрыть персональные данные и местоположение пользователя;
  • для повышения уровня безопасности интернет-сёрфинга путём шифрования трафика;
  • дополнительной защиты от вредоносных программ и вирусов;
  • для доступа к заблокированному контенту;
  • для подключения к корпоративной сети удалённых работников.

Для подключения к виртуальной частной сети используется несколько протоколов: OpenVPN, PPTP, L2TP, IPSec, SSTP. При отсутствии в роутере встроенной поддержки OpenVPN, специалисты рекомендуют выбирать PPTP или L2TP. Последний отличается высокой скоростью передачи данных, но более слабой защитой VPN-соединения.

Как настроить OpenVPN на DD-WRT?

Прежде всего, перейдите на веб-сайт поставщика VPN и загрузите файлы конфигурации OpenVPN — у них будет расширение ovpn — для всех серверов, к которым вы хотите подключиться. Вам также понадобятся имя пользователя и пароль для VPN.

При подключении к роутеру, предпочтительно через локальную сеть, перейдите в панель управления роутером в веб-браузере. Как правило, для этого нужно ввести в строке браузера 192.168.1.1, если это не сработает, попробуйте 192.168.0.1.

  1. войдите в свою панель управления, используя учетные данные, которые вы установили при первой установке DD-WRT;
  2. перейдите на вкладку Services;
  3. затем выберите VPN;
  4. под OpenVPN Client включите Enable, появится панель конфигурации.

То, что вы делаете дальше, зависит от вашей версии DD-WRT. Если ваша прошивка имеет аутентификацию пользователя, вам необходимо открыть файл конфигурации для сервера, к которому вы хотите подключиться, с текстовым редактором, таким как Блокнот. Скопируйте настройки из файла конфигурации, включая адрес сервера (IP-адрес или доменное имя), имя пользователя и пароль. В зависимости от вашего провайдера вам также может потребоваться установить порт, туннельный протокол, шифрование или алгоритм хеширования.

настройки openvpn client

Если ваша прошивка не имеет аутентификации пользователя, найдите текстовое поле «Дополнительная конфигурация» и введите следующую команду:

auth-user-pass /tmp/auth.txt

Вы увидите несколько полей, которые соответствуют файлам в вашем конфигурационном файле OpenVPN. Откройте файл config (.ovpn) в текстовом редакторе, таком как «Блокнот». Вам нужно будет скопировать по адресу сервера (IP-адрес или доменное имя) и номер порта, которые отображаются после «удаленной» строки в файле конфигурации.

Чтобы настроить ключи и сертификаты, вам нужно проконсультироваться со службой поддержки или базой знаний поставщика VPN, чтобы получить правильные команды для входа в поле «Дополнительная настройка». Скопируйте и вставьте ключ аутентификации TLS, сертификат CA, сертификат открытого клиента, ключ частного клиента в каждое из соответствующих полей в панели мониторинга DD-WRT.

По завершении нажмите «Применить настройки», чтобы запустить VPN-соединение.

настройки openvpn client

Настройка DNS на маршрутизаторе

Если вы не хотите, чтобы ваш интернет-провайдер получал запросы DNS, которые могут передавать ваше местоположение и активность в браузере, вам также следует рассмотреть возможность установки DNS-серверов в DD-WRT. Хотя вы можете обычно указывать их на отдельных устройствах, вы можете позаботиться обо всех них сразу в DD-WRT.

В административной панели DD-WRT перейдите в раздел «Настройка» — «Базовая настройка». В разделе DHCP и введите DNS-адреса рядом со статическим DNS 1, 2 и 3. Вы можете использовать DNS-серверы Google, OpenNIC или DNS, предоставляемые вашим провайдером VPN.

настройка DNS в ddwrt

Нажмите «Сохранить» и «Применить настройки».

Мы еще не все сделали. Перейдите в раздел Службы — Услуги. В разделе DNSMasq в дополнительных параметрах DNSMasq введите эту команду, заменив «dns.ip.1.here» DNS-серверами, которые вы использовали выше:

dhcp-option=6, dns.ip.1.here, dns.ip.1.here, dns.ip.1.here, dns.ip.1.here

Включить DNSMasq. Это обеспечит отправку всех DNS-запросов через туннель VPN.

включение DNSMasq в DDWRT

Сплит-туннелирование в DD-WRT

В некоторых случаях необходимо чтобы определенные устройства имели доступ к интернет-трафику через VPN. Некоторые сборки DD-WRT позволяют разделить туннелирование, которое позволяет вам выбирать, какие устройства проходят туннелирование через VPN, а какие могут используют незашифрованную сеть провайдера.

Чтобы настроить сплит-туннелирование, в административной панели DD-WRT перейдите в раздел Сервис — VPN. Найдите поле маршрутизации на основе политик и введите IP-адреса для каждого из устройств, которые вы хотите пускать через VPN.

Если вы хотите включить раздельное туннелирование для определенных веб-сайтов, приложений, серверов или других назначений трафика, это нужно будет настроить в брандмауэре с помощью iptables. Откройте «Администрирование»> «Команды». В разделе «Межсетевой экран» нажмите «Изменить» и введите необходимые команды.

Аутентификация и шифрование

В Vista и Win2k8 список опознавательных протоколов PPP заметно сокращен.
Исключены SPAP, EAP-MD5-CHAP и MS-CHAP, которые давно признаны небезопасными (в
них используются алгоритмы хеширования MD4 и шифрования DES). Список доступных
протоколов теперь выглядит так: PAP, CHAP, MSCHAP-v2 и EAP-TLS (требует наличия
пользовательских сертификатов или смарт-карт). Настоятельно рекомендуется
использовать MSCHAP-v2
, поскольку он надежнее и обеспечивает взаимную
аутентификацию клиента и сервера. Также посредством групповой политики предпиши
обязательное применение сильных паролей.

Для шифрования VPN-соединения при помощи MPPE используются 40, 56 и
128-битные RSA RC4 ключи. В первых версиях Windows из-за ограничений на экспорт
военных технологий был доступен только 40-битный ключ и с некоторыми оговорками
– 56-битный. Они уже давно признаны недостаточными, и, начиная с Vista,
поддерживается исключительно 128-битная длина ключа. Может возникнуть ситуация,
что у клиента поддержки такой возможности нет, поэтому для старых версий Windows
надо накатить все сервис-паки или обновления безопасности. Например, WinXP SP2
без проблем подключится к серверу Win2k8.

Чтобы самостоятельно просмотреть список поддерживаемых системой алгоритмов и
длин ключей, обратись к ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL.
В частности, настройки алгоритмов шифрования находятся в ветке Ciphers\RC4.
Принудительно активировать нужную опцию можно, создав параметр dword «Enabled» и
установив его значение в «ffffffff». Есть и другой способ, который Microsoft не
рекомендует, – активировать поддержку 40/56-битных RC4 ключей на сервере Win2k8.
Для этого необходимо установить в «1» параметр реестра HKLM\System\CurrentControlSet\Services\Rasman\Parameters\AllowPPTPWeakCrypto
и перезапустить систему.

Рейтинг автора
5
Материал подготовил
Максим Иванов
Наш эксперт
Написано статей
129
Ссылка на основную публикацию
Похожие публикации