Перейти к сути 
VPN (Virtual Private Network; виртуальная частная сеть) — обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых соединений (туннелей) поверх другой сети (например Интернет).
Существует много причин для использования виртуальных частных сетей. Наиболее типичные из них — безопасность и конфиденциальность данных. С использованием средств защиты данных в виртуальных частных сетях гарантируется конфиденциальность исходных пользовательских данных.
Известно, что сети, использующие протокол IP (Internet Protocol), имеют “слабое место”, обусловленное самой структурой протокола. Он не имеет средств защиты передаваемых данных и не может гарантировать, что отправитель является именно тем, за кого себя выдает. Данные в сети, использующей протокол IP, могут быть легко подделаны или перехвачены.
Если вы из Интернета подключаетесь к собственному домашнему серверу, файлам USB-накопителя, подключенного к роутеру, видеорегистратору или по протоколу RDP к рабочему столу компьютера, рекомендуем использовать VPN-соединение. В этом случае можно будет не волноваться о безопасности передаваемых данных, т.к. VPN-соединение между клиентом и сервером, как правило, зашифровано.
Интернет-центры Keenetic (кроме ретрансляторов Buddy) поддерживают следующие типы VPN-соединений:
- PPTP
- SSTP
- L2TP over IPSec (L2TP/IPSec)
- WireGuard
- OpenVPN
- IPSec
- IKEv2
- OpenConnect
- GRE/IPIP/EoIP
- IPSec Xauth PSK (Virtual IP)
С помощью интернет-центра Keenetic ваша домашняя сеть может быть подключена по VPN к VPN-серверу, сети офиса или другого интернет-центра Keenetic при любом способе доступа в Интернет.
Во всех моделях Keenetic реализованы как VPN клиенты/серверы для безопасного доступа: PPTP, L2TP over IPSec, IKEv2, Wireguard, OpenVPN, SSTP, OpenConnect так и туннели для объединения сетей: Site-to-Site IPSec, EoIP (Ethernet over IP), GRE, IPIP (IP over IP).
В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения разных сценариев: хост-хост, хост-сеть, хосты-сеть, клиент-сервер, клиенты-сервер, роутер-роутер, роутеры-роутер (vpn concentrator), сеть-сеть (site-to-site).
Если вы не знаете, какой тип VPN выбрать, приведенные ниже таблицы и рекомендации помогут в этом.
| Тип VPN | Клиент | Сервер | Аппаратное ускорение * | Количество одновременных подключений |
| PPTP | + | + | – | Клиент: до 128 Сервер: до 100/150/200 в зависимости от модели ** |
| SSTP | + | + | – | |
| OpenConnect | + | + | – | |
| L2TP over IPSec | + | + | + | Клиент: до 128 Сервер: ограничение отсутствует |
| WireGuard | + | + | – | до 32 *** |
| IPSec | + | + | + | ограничение отсутствует **** |
| IKEv2 | + | + | + | до 32 |
| GRE/IPIP/EoIP | + | + | – | до 128 |
| OpenVPN | + | + | – | до 32 (до 128 для моделей на ARM-процессоре) |
| IPSec Xauth PSK | – | + | + | до 32 |
* — для младших моделей Runner 4G, Start, 4G, Lite, Omni, City, Air, Extra используется ускорение только работы алгоритма AES, а в старших моделях Viva, Ultra, Giga, Giant, Hero 4G, DUO, DSL, Peak, Hopper используется аппаратное ускорение всего протокола IPSec.
** — до 200 для Peak, Giant, Giga и Ultra; до 150 для DSL и Duo; до 100 для Start, 4G, Lite, Omni, City, Air, Extra и Zyxel Keenetic Air, Extra II, Start II, Lite III Rev.B, 4G III Rev.B.
*** — с версии KeeneticOS 3.7 увеличено число подключений WireGuard для моделей на ARM-процессоре (KN-2710, KN-1811, KN-3812) до 128 и для Giga, Ultra, Viva, Hero 4G, Giant и Speedster до 48.
**** — до версии KeeneticOS 3.3 ограничение составляло до 10 подключений для Giga, Ultra и до 5 для всех остальных моделей.
Важно! Для моделей Keenetic первого поколения с индексом KN-1110, 1210, 1310, 1410, 1510, 1610, 1710, 1810, 1910 число клиентских подключений ограничивается выделенным служебным размером раздела памяти объемом 24 Кбайта для хранения VPN-конфигураций. Особенно это актуально для OpenVPN-соединений, т.к. суммарный размер их конфигураций не должен превышать 24 Кбайта.
Для современных моделей Keenetic с индексом KN-xxxx увеличен размер хранилища, в которое помещаются в сжатом виде файл конфигурации startup-config и переменные окружения (в том числе ключи), и составляет от 260 Кбайт до 2 Мбайт (в зависимости от модели).
| Тип VPN | Уровень сложности | Уровень защиты данных | Скорость** | Ресурсо емкость | Интеграция в ОС |
| PPTP | для обычных пользователей | низкий | средняя, высокая без MPPE | низкая | Windows, macOS, Linux, Android, iOS (до версии 9 вкл.) |
| SSTP | для обычных пользователей | высокий | средняя, низкая при работе через облако | средняя | Windows |
| OpenConnect | для обычных пользователей | высокий | средняя, низкая при работе через облако | средняя | отсутствует* |
| L2TP over IPSec | для обычных пользователей | высокий | высокая, средняя на младших моделях | высокая | Windows, macOS, Linux, iOS |
| WireGuard | для опытных пользователей | очень высокий | высокая | низкая | отсутствует* |
| IPSec | для профессионалов | очень высокий | высокая | высокая | Windows, macOS, Linux, Android, iOS |
| IKEv2 | для обычных пользователей | высокий | высокая | высокая | Windows, macOS, Linux, Android, iOS |
| OpenVPN | для опытных пользователей | очень высокий | низкая | очень высокая | отсутствует* |
| IPSec Xauth PSK | для обычных пользователей | высокий | высокая | высокая | Android, iOS |
* — для организации подключения понадобится установить дополнительное бесплатное ПО в операционных системах Windows, macOS, Linux, Android, iOS.
** — представлены относительные величины, а не конкретные цифры, т.к. скорости для VPN-подключений зависят от моделей и целого ряда факторов — типа используемых алгоритмов шифрования, числа одновременных подключений, типа подключения к Интернету и скорости интернет-канала, от загрузки интернет-канала, нагрузки на сервер и других факторов. Низкой будем называть скорость до 15 Мбит/с, средняя в районе 30-50 Мбит/с и высокая — свыше 70 Мбит/с.
Справка: Получить максимальные скорости VPN-соединений можно в моделях Peak (KN-2710), Giga (KN-1012), Hopper (KN-3811/3812), Sprinter (KN-3711/3712), Challenger SE (KN-3911) и Ultra (KN-1811).
Данные высокопроизводительные модели, благодаря энергоэффективным 2-ядерным ARM-процессорам Cortex-A53 1,35 ГГц и MT7981 1,3 ГГц (Mediatek Filogic 820), а также увеличенному объему оперативной памяти, поднимают пиковую скорость ресурсоемких VPN-протоколов OpenVPN, SSTP и IPsec до 150-200 Мбит/с. Для примера приведем цифры максимальных скоростей для разных типов VPN, полученные в нашей тестовой лаборатории: Wireguard — 450 Мбит/с; IKEv2 — 300 Мбит/с; IPsec — 220 Мбит/с; L2TP/IPsec — 160 Мбит/с; SSTP (в режиме “Прямой доступ”) — 110 Мбит/с; OpenVPN — 200 Мбит/с; PPTP (с MPPE) — свыше 500 Мбит/с.
| Тип VPN | Плюсы | Минусы |
| PPTP | популярность, широкая совместимость с клиентами | невысокий уровень защиты данных, в сравнении с другими протоколами VPN |
| SSTP | возможность работы VPN-сервера при наличии “серого” IP для доступа в Интернет *, использование протокола HTTPS (TCP/443) | встроенный клиент только в ОС Windows, низкая скорость передачи данных при работе через облако |
| OpenConnect | возможность работы VPN-сервера при наличии “серого” IP для доступа в Интернет *, использование протокола HTTPS (TCP/443) | не входит в состав современных ОС |
| L2TP over IPSec | безопасность, стабильность, простая настройка | не входит в состав Android (для подключения нужно использовать дополнительное бесплатное ПО), используются стандартные порты, что позволяет провайдеру или системному администратору заблокировать трафик |
| WireGuard | современные протоколы безопасности данных, низкая ресурсоемкость, высокая скорость передачи данных | не входит в состав современных ОС |
| IPSec | надежность, очень высокий уровень защиты данных | сложность настройки для обычных пользователей |
| IKEv2 | надежность, высокий уровень защиты данных, простая настройка, широкая совместимость с клиентами, поддержка на устройствах Blackberry | используются стандартные порты, что позволяет провайдеру или администратору блокировать трафик |
| OpenVPN | высокий уровень защиты данных, использование протокола HTTPS (TCP/443) | не входит в состав современных ОС, очень ресурсоемкий, невысокие скорости передачи данных |
| IPSec Xauth PSK | безопасность, входит в состав современных мобильных ОС | отсутствие поддержки клиентов в ОС для ПК |
* — данная возможность реализована на нашем облачном сервере как специальное программное расширение и доступна только для пользователей интернет-центров Keenetic.
Для обычных пользователей для использования удаленных подключений клиенты-сервер мы рекомендуем:
- L2TP over IPSec (L2TP/IPSec), PPTP, IKEv2, IPSec Xauth PSK, SSTP, OpenConnect
В ряде моделей Keenetic передача данных по IPSec (в том числе L2TP over IPSec и IKEv2) ускоряется аппаратно с помощью процессора устройства, что обеспечивает высокие скорости передачи данных. В таком туннеле можно абсолютно не волноваться о конфиденциальности IP-телефонии или потоков видеонаблюдения.
Если провайдер выдает вам публичный IP-адрес, рекомендуем обратить внимание на серверы IKEv2, L2TP over IPSec и на так называемый виртуальный сервер IPSec (Xauth PSK). Они замечательны тем, что обеспечивают абсолютно защищенный доступ к домашней сети со смартфона, планшета или компьютера с минимальной настройкой: в Android, iOS и Windows для большинства этих типов VPN есть удобные встроенные клиенты. Для L2TP over IPSec в ОС Android используйте бесплатный популярный VPN-клиент strongSwan.
В качестве самого оптимального универсального варианта можно считать IKEv2 и L2TP/IPSec.
Если же интернет-провайдер предоставляет вам только частный “серый” IP-адрес для работы в Интернете, и нет возможности получить публичный IP, вы всё-равно сможете организовать удаленный доступ к своей домашней сети, используя VPN-сервер SSTP или OpenConnect. Основным преимуществом туннелей SSTP и OpenConnect является его способность работать через облако, т.е. он позволяет установить подключение между клиентом и сервером, даже при наличии частных “серых” IP-адресов с обеих сторон. Все остальные VPN-сервера требуют наличия публичного “белого” IP-адреса. Обращаем ваше внимание, что данная возможность реализована на нашем облачном сервере и доступно только для пользователей Keenetic.
Что касается туннельного протокола PPTP, он наиболее прост и удобен в настройке, но потенциально уязвим, в сравнении с другими типами VPN. Тем не менее лучше использовать его, чем не применять VPN вовсе.
Для опытных пользователей к этому списку можно добавить:
- WireGuard, OpenVPN
OpenVPN очень популярен, но чрезвычайно ресурсоемкий и не имеет особых преимуществ против IPSec. В интернет-центре Keenetic для подключения OpenVPN реализованы такие возможности как режим TCP и UDP, аутентификация TLS, использование сертификатов и ключей шифрования для повышения уровня безопасности VPN-подключения.
Современный протокол WireGuard сделает работу с VPN проще и быстрее (в несколько раз в сравнении с OpenVPN) без наращивания мощности железа в устройстве.
Для мобильных устройств, и организации удаленного подключения к роутеру, используйте:
- IKEv2
Клиент IKEv2 EAP (Логин/Пароль) является встроенным в Android, iOS, MacOS, Windows.
Для объединения сетей и организации Site-to-Site VPN используйте:
- WireGuard, IPSec, L2TP over IP (L2TP/IPSec)
Для решения специализированных задач по объединению сетей:
- EoIP, GRE, IPIP
IPSec является одним из самых безопасных протоколов VPN за счет использования криптостойких алгоритмов шифрования. Он является идеальным вариантом для создания подключений типа Site-to-Site VPN для объединения сетей. Кроме этого для профессионалов и опытных пользователей имеется возможность создавать туннели IPIP, GRE, EoIP как в простом виде, так и в сочетании с туннелем IPSec, что позволит использовать для защиты этих туннелей стандарты безопасности IPSec VPN. Поддержка туннелей IPIP, GRE, EoIP позволяет установить VPN-соединение с аппаратными шлюзами, Linux-маршрутизаторами, компьютерами и серверами с ОС UNIX/Linux, а также с другим сетевым и телекоммуникационным оборудованием, имеющих поддержку указанных туннелей. Настройка туннелей данного типа доступна только в интерфейсе командной строки (CLI) интернет-центра.