Что лучше pptp или l2tp: PPTP vs L2TP vs OpenVPN vs SSTP / Хабр
PPTP vs L2TP vs OpenVPN vs SSTP / Хабр
Недавно я искал информацию об отличиях существующих VPN-технологий и наткнулся на эту статью. Здесь вкратце описаны преимущества и недостатки основных VPN, очень легко и доступно. Предлагаю сообществу перевод статьи.
VPN-провайдеры обычно предлагают на выбор несколько типов подключения, иногда как часть различных тарифных планов, а иногда в составе единого тарифного плана. Цель этой статьи – провести обзор доступных вариантов VPN и помочь понять основы используемых технологий.
Заметка про длину ключа шифрования
Грубо говоря, длина ключа, используемого при создании шифра, определяет, сколько времени потребуется для взлома с помощью прямого перебора. Шифры с более длинными ключами требуют значительно больше времени для перебора, чем более короткие («брутфорс» означает перебор всех возможных комбинаций, пока не будет найдена верная).
Сейчас почти невозможно найти VPN-шифрование с использованием ключа длиной менее 128 бит и все сложнее найти 256-битное шифрование в предлагаемых OpenVPN-решениях, ключи которых бывают даже 2048 бит. Но что означают эти цифры на практике, 256-битное шифрование действительно более безопасное, чем 128-битное?
Краткий ответ таков: при практическом применении – нет. Это правда, что взлом 256-битного ключа потребует в 2128 больше вычислительной мощности, чем взлом 128-битного ключа. Это означает, что потребуется 3.4х10^38 операций (количество комбинаций в 128-битном ключе) – подвиг для существующих компьютеров и даже в ближайшем будущем. Если бы мы применили самый быстрый суперкомпьютер (по данным 2011 года его скорость вычислений 10.51 петафлопс), нам потребовалось бы 1.02х10^18 (около 1 миллиарда) лет, чтобы взломать 128-битный AES-ключ путем перебора.
Так как на практике 128-битный шифр не может быть взломан путем перебора, было бы правильно говорить, что ключа такой длины более чем достаточно для большинства применений. Только настоящие параноики (например, чиновники в правительстве, имеющие дело со сверхсекретными документами, которые должны оставаться в тайне в течение следующих 100 или более лет) могут использовать 256-битное шифрование (правительство США, например, использует сертифицированный NIST 256-битный AES-шифр).
Так почему же все более часто встречаются VPN-провайдеры, предлагающие 256-битное шифрование (не говоря уже о 2048-битном)? Особенно если учесть, что использование шифрования с 256-битным или более длинным ключом требует больше вычислительных ресурсов. Ответ прост – маркетинг. Проще продать VPN-услуги с более длинным ключом шифрования.
Крупные корпорации и правительства могут испытывать потребность в дополнительной безопасности, обеспечиваемой длинными ключами, но для среднего домашнего пользователя VPN с ключом 128 бит более чем достаточно.
Различные шифры имеют уязвимости, которые могут быть использованы для быстрого взлома. Также могут быть использованы специальные программы, такие как клавиатурные шпионы. Подводя итоги, можно сказать, что использование шифрования с ключом более 128 бит на самом деле вряд ли имеет значение для большинства пользователей.
PPTP
Протокол туннелирования точка-точка (Point-to-Point Tunneling Protocol) – это протокол, изобретенный Microsoft для организации VPN через сети коммутируемого доступа. PPTP является стандартным протоколом для построения VPN уже на протяжении многих лет. Это только VPN-протокол и он опирается на различные методы аутентификации для обеспечения безопасности (наиболее часто используется MS-CHAP v.2). Доступен как стандартный протокол почти во всех операционных системах и устройствах, поддерживающих VPN, что позволяет использовать его без необходимости установки дополнительного программного обеспечения. PPTP остается популярным выбором как предприятий, так и VPN-провайдеров. Его преимущество также в том, что он использует меньше вычислительных ресурсов, следовательно обладает высокой скоростью работы.
Хотя PPTP обычно и используется со 128-битным шифрованием, в следующие несколько лет после включения этого протокола в состав Windows 95 OSR2 в 1999 году были найдены ряд уязвимостей. Наиболее серьезной из которых явилась уязвимость протокола аутентификации MS-CHAP v.2. Используя эту уязвимость, PPTP был взломан в течение 2 дней. И хотя компанией Microsoft была исправлена эта ошибка (за счет использования протокола аутентификации PEAP, а не MS-CHAP v.2), она сама рекомендовала к использованию в качестве VPN проколов L2TP или SSTP.
Плюсы:
- клиент PPTP встроен почти во все операционные системы
- очень прост в настройке
- работает быстро
Минусы:
- небезопасен (уязвимый протокол аутентификации MS-CHAP v.2 все еще много где используется)
L2TP и L2TP/IPsec
Протокол туннелирования 2 уровня (Layer 2 Tunnel Protocol) – это протокол VPN, который сам по себе не обеспечивает шифрование и конфиденциальность трафика, проходящего через него. По этой причине, как правило, используется протокол шифрования IPsec для обеспечения безопасности и конфиденциальности.
L2TP/IPsec встроен во все современные операционные системы и VPN-совместимые устройства, и так же легко может быть настроен как и PPTP (обычно используется тот же клиент). Проблемы могут возникнуть в том, что L2TP использует UDP-порт 500, который может быть заблокирован файрволлом, если вы находитесь за NAT. Поэтому может потребоваться дополнительная настройка роутера (переадресация портов). Кстати, протокол SSL, например, использует TCP-порт 443, чтобы быть неотличимым от обычного HTTPS-трафика.
Протокол IPsec на данный момент не имеет никаких серьезных уязвимостей и считается очень безопасным при использовании таких алгоритмов шифрования, как AES. Однако, поскольку он инкапсулирует данные дважды, это не так эффективно, как SSL-решения (например, OpenVPN или SSTP), и поэтому работает немного медленнее.
Плюсы:
- очень безопасен
- легко настраивается
- доступен в современных операционных системах
Минусы:
- работает медленнее, чем OpenVPN
- может потребоваться дополнительная настройка роутера
OpenVPN
OpenVPN является достаточно новой технологией с открытым кодом, которая использует библиотеку OpenSSL и протоколы SSLv3/TLSv1, наряду с множеством других технологий для обеспечения надежного VPN-решения. Одним из его главных преимуществ является то, что OpenVPN очень гибок в настройках. Этот протокол может быть настроен на работу на любом порту, в том числе на 443 TCP-порту, что позволяет маскировать трафик внутри OpenVPN под обычный HTTPS (который использует, например, Gmail) и поэтому его трудно заблокировать.
Еще одним преимуществом OpenVPN является то, что используемые для шифрования библиотеки OpenSSL поддерживают множество криптографических алгоритмов (например, AES, Blowfish, 3DES, CAST-128, Camelia и другие). Наиболее распространенные алгоритмы, которые используют VPN-провайдеры – AES и Blowfish. AES является новой технологией, и хотя оба считаются безопасными, тот факт, что он имеет 128-битный размер блока, а не 64-битный как у Blowfish, означает, что он может работать с большими (более 1Гб) файлами лучше. Различия, однако, довольно незначительные. То, как быстро работает OpenVPN, зависит от выбранного алгоритма шифрования, но, как правило, работает быстрее, чем IPsec.
OpenVPN стал технологией №1 при использовании VPN, и хотя он изначально не поддерживается операционными системами, этот протокол широко поддерживается через стороннее программное обеспечение. Совсем недавно невозможно было использовать OpenVPN на iOS и Android без джейлбрейка и рута, а сейчас появились сторонние приложения, которые частично решили эту проблему.
С этим связана другая проблема OpenVPN – гибкость может сделать его неудобным в настройке. В частности, при использовании типовой программной реализации OpenVPN (например, стандартный открытый клиент OpenVPN под Windows) необходимо не только скачать и установить клиент, но и загрузить и установить дополнительные конфигурационные файлы. Многие VPN-провайдеры решают эту проблему путем использования преднастроенных VPN-клиентов.
Плюсы:
- гибко настраивается
- очень безопасен (зависит от выбранного алгоритма шифрования, но все они безопасны)
- может работать сквозь файрволлы
- может использовать широкий спектр алгоритмов шифрования
Минусы:
- необходимо стороннее программное обеспечение
- может быть неудобен в настройке
- ограниченная поддержка портативными устройствами
SSTP
Протокол безопасного туннелирования сокетов (Secure Socket Tunneling Protocol) – был представлен Microsoft в Windows Vista SP1, и хотя он теперь доступен на Linux, RouterOS и SEIL, он по-прежнему используется в значительной степени только Windows-системами (есть очень маленький шанс, что он появится на Apple устройствах). SSTP использует SSL v.3 и, следовательно, предлагает аналогичные преимущества, что и OpenVPN (например, возможность использовать TCP-порт 443 для обхода NAT), а так как он интегрирован в Windows, он проще в использовании и более стабилен, чем OpenVPN.
Плюсы:
- очень безопасен (зависит от алгоритма шифрования, обычно используется очень стойкий AES)
- полностью интегрирован в Windows (начиная с Windows Vista SP1)
- имеет поддержку Microsoft
- может работать сквозь файрволлы
Минусы:
- работает только в Windows-среде
Заключение
PPTP небезопасен (даже его создатели в Microsoft отказались от него), поэтому его использования следует избегать. В то время, как простота установки и кроссплатформенная совместимость являются привлекательными, L2TP/IPsec имеет те же преимущества и является более безопасным.
L2TP/IPsec является хорошим решением VPN, но не таким хорошим, как OpenVPN. Однако, для быстрой настройки VPN без необходимости установки дополнительного программного обеспечения остается лучшим решением, особенно для мобильных устройств, где поддержка OpenVPN по-прежнему на низком уровне.
OpenVPN является лучшим решением VPN несмотря на необходимость стороннего программного обеспечения во всех операционных системах. Это надежный, быстрый и безопасный протокол, хотя и требует немного больше усилий, чем другие протоколы.
SSTP предлагает большинство преимуществ OpenVPN, но только в среде Windows. Это означает, что он лучше интегрирован в ОС, но благодаря этому он слабо поддерживается VPN-провайдерами.
Большинство пользователей могут использовать OpenVPN на своих настольных компьютерах, возможно, дополнив его L2TP/IPsec на своих мобильных устройствах.
Какой протокол VPN лучше? PPTP, OpenVPN, L2TP / IPsec или SSTP? | PROCompy.ru
Какой протокол VPN лучше? PPTP, OpenVPN, L2TP / IPsec или SSTP?
Вы хотите использовать VPN, но не знаете, чем отличаются его протоколы и какой лучше выбрать? Тогда эта статья для вас. В ней мы рассмотрим, какие бывают протоколы VPN, чем они отличаются друг от друга и какой лучше использовать.
PPTP
PPTP (полное название на английском это звучит как «Point-to-Point Tunneling Protocol») – тунельный протокол «точка-точка» является распространенным протоколом, он был реализован в операционной системе Windows, начиная еще с Windows 95. PPTP имеет много известных проблем безопасности, и, при необходимости будет легко расшифрован, что позволит вас «найти».
Да, PPTP распространен и прост в настройке, но это единственное преимущество, и оно того не стоит. Двигаемся дальше.
Итог: PPTP является старым и уязвимым, хотя он и доступен большинству операционных систем по дефолту, а также легко настраивается. Не используйте его, если только это не ваш последний вариант.
OpenVPN
OpenVPN это технологии с открытым (доступным) исходным кодом, использующий библиотеки шифрования OpenSSL и протоколы SSL v3 / TLS v1. Он может быть настроен для работы на абсолютно любом порту, что является одним из его плюсом. Трафик OpenSSL VPN будет практически неотличим от стандартного трафика HTTPS, который возникает при подключении к защищенному веб-сайту.
Этот протокол достаточно гибкий, имеет большее количество настроек чем PPTP и наиболее безопасен, если он настроен на использование шифрования AES вместо более слабого шифрования Blowfish. OpenVPN стал популярным стандартом. Это достаточно хорошая анонимность, которою тяжело вычеслить.
Поддержка OpenVPN не интегрирована в популярные настольные или мобильные операционные системы. Для подключения к сети OpenVPN требуется сторонние приложения. Также вы можете использовать мобильные приложения для подключения к сетям OpenVPN.
Итог: OpenVPN является отличным, современным, безопасным протоколом, но вам потребуется установить дополнительное ПО. Именно его советуем к использованию.
L2TP / IPsec
L2TP / IPsec (полное название на английском звучит как «Layer 2 Tunneling Protocol») — протокол туннеля уровня 2 — это протокол VPN, который, сам по себе, не предлагает никакого шифрования. Поэтому он обычно реализуется вместе с шифрованием IPsec (сокращение от IP Security). Поскольку он так же встроен в современные операционные системы и мобильные устройства, его довольно легко реализовать. Но в процессе будет использоваться порт UDP 500 — это означает, что он не может быть замаскирован на другом порту, в отличие от того же OpenVPN. Естественно становится намного проще его блокировать.
Теоретически, шифрование IPsec безопасно, но гарантии вам никто не даст. В любом случае этот стандарт медленнее, чем OpenVPN, т.к это двухэтапный процесс, в котором трафик должен быть преобразован в форму L2TP, а затем поверх наложить шифрование IPsec.
Итог: L2TP / IPsec теоретически безопасен, но есть некоторые проблемы. Его легко настроить, но его легко блокировать даже обычным брандмауэром.
SSTP
SSTP — (полное название на английском звучит как «Secure Socket Tunneling Protocol») — протокол туннелирования Secure Socket был введен в Windows Vista с пакетом обновления 1 (SP1). Это проприетарный протокол Microsoft и лучше всего поддерживается в именно в операционных системах Windows.
Интеграция в Windows дает этому протоколу стабильность, тогда как OpenVPN не является таковым и это самое большое его потенциальное преимущество. Он так же поддерживается и в других операционных системах, но не так широко, как в Windows.
Он может быть настроен на использование очень безопасного шифрования AES, что хорошо. Для пользователей Windows это, безусловно, лучше, чем PPTP, но, поскольку, это проприетарный протокол, он не подлежит независимым аудитам, которым подвержен OpenVPN. Поскольку протокол использует SSL v3 он имеет схожие возможности обходить брандмауэры и должен работать лучше чем L2TP / IPsec или PPTP.
Итог: Данный протокол похоже на OpenVPN, но в основном только для Windows. Он однозначно лучше, чем PPTP и, поскольку, он может быть настроен на использование AES-шифрования является более надежный, чем L2TP / IPsec.
Подведем итоги:
Лучший вариант — OpenVPN. Если вам нужно использовать другой протокол для Windows, SSTP является идеальным выбором. Если доступны только L2TP / IPsec или PPTP, используйте L2TP / IPsec. Избегайте PPTP, если только это не последний доступный Вам вариант.
L2TP для самых маленьких
Всем привет. Сегодня мы поговорим про протокол L2TP: как он работает, его преимущества, недостатки, а также как его настроить бесплатно. Layer 2 Tunneling Protocol (Протокол туннелирования второго уровня) – работает на канальном уровне и по сути объединяет в себе два известных протокола: L2F и PPTP.
Используется для создания VPN в глобальной сети интернет. Но так как не имеет должного уровня шифрования и аутентификации – не используется самостоятельно. Имеет свои плюсы и минусы по сравнению с другими конкурентами: PPTP, OpenVPN и SSTP. Теперь поподробнее.
Про бесплатную настройку всех известных VPN – смотрим варианты тут.
Более подробно
Проблема данного протокола в том, что он не обеспечивает должной конфиденциальности информации, поэтому его редко когда используют в «соло». Обычно для шифрования пакетов данных вместе с L2TP соединением используют IPsec – поэтому чаще всего можно увидеть приставку: L2TP/IPsec.
IPsec шифрует данные в два захода по AES алгоритму шифрования, что делает связку L2TP/IPsec очень надежным туннелем в VPN мире, но из-за этого он медленнее чем те же Open VPN и SSTP. Ещё проблема в том, что данная технология использует пятисотый UDP-порт, который часто блокируется файрволлами.
Плюс данной технологии в том, что она очень просто настраивается и интегрирована почти во все операционные системы, начиная с Windows и заканчивая мобильными iOS и Android. Не нужно устанавливать какие-то дополнительные программные обеспечения. Да и настройки достаточно простые.
Если говорить строго про L2TP, то данный протокол выполняет две функции:
- Создание тоннеля, по которому можно передавать данные.
- Упаковка PPP пакетов данных, с помощью которых можно передавать по туннелю всю информацию.
Но мы помним, что основной протокол при этом UDP – если даже пакет не дойдет до адресата, он не будет отправлен повторно.
- Клиент L2TP легко настраивается на любом устройстве, так как не требует установки каких-то дополнительных программ.
- Есть во всех ОС.
- За счет двухступенчатой инкапсуляции пакетов – максимально безопасный.
- Работает медленно.
- Файерволл маршрутизатора может блокировать данный туннель, поэтому нужна дополнительная настройка по открытию 500-порта UDP.
Сравнение с PPTP
PPTP (протокол туннелирования точка-точка) – стандартный протокол в построении VPN сетей. Так как использует 128-битное шифрование гораздо быстрее чем L2TP/IPsec. В далекие 1999 годы из-за уязвимости аутентификации MS-CHAP v.2 была взломана. Поэтому считается менее надежным вариантом. С другой стороны, она также легко настраивается, интегрирована во всех ОС и повсеместно используется во многих компаниях.
- Есть во всех ОС.
- Прост в конфигурации.
- Быстрая работа за счет простых алгоритмов шифрования
- Считается ненадежным из-за уязвимостей в алгоритмах аутентификации.
Сравнение с OpenVPN
Новый протокол, который используется не так давно как конкуренты. В работе использует библиотеки OpenSSL и протоколы SSLv3/TLSv1. Самым главным плюсом является то, что данный протокол настраивается с различных сторон. Можно даже переназначить используемый порт и протокол. Можно даже использовать TCP туннелирование.
Также из-за используемой библиотеки OpenSSL есть огромное множество возможностей использовать различные типы шифрования от AES до Camelia. И работает он в разы быстрее чем IPsec.
Самая главная проблема вытекает из главного преимущества – сложность настроек. Плюс OpenVPN не интегрирован в системы, поэтому нужно устанавливать дополнительное программное обеспечение. Мало того, после установки программы для подключения и работы нужно произвести хирургическую конфигурацию для обеспечения надежной работы. Именно поэтому обычно в работе как раз и используются конфигурационные файлы.
- Быстрый.
- Надежный и безопасный.
- Имеет огромное множество настроек.
- Очень гибкий при работе с NAT.
- Имеет много алгоритмов шифрования за счет встроенной библиотеки OpenSSL.
- Сложный в настройках – поэтому используются файлы с уже предустановленными конфигурациями.
- Необходима установка программного обеспечения.
SSTP
Протокол, который изначально был интегрирован в Windows компанией Microsoft. Имеет отличную библиотеку шифрования с используемым протоколом SSL третьей версии. Так же как и OpenVPN имеет гибкие настройки. Интегрирован во все современные системы «Окон».
- Безопасность.
- Интеграция в ОС Linux и Windows.
- Достаточно быстрый в использовании.
- Не поддерживается продукцией Apple.
сравниваем шесть протоколов / Сетевое оборудование / iXBT Live
Нельзя сказать, что задача удаленного доступа к устройствам в домашней локальной сети является очень распространенной и, вероятно, большая часть пользователей с ней даже никогда не встречалась. Однако все чаще в локальной сети появляются устройства и сервисы, с которыми хотелось бы работать удаленно. В качестве примера можно назвать сетевые накопители с библиотекой файлов, видеокамеры, устройства домашней автоматизации. В некоторых случаях может быть достаточно предоставляемых производителями собственных реализаций облачного доступа или даже просто проброса портов на роутере. Но если таких устройство много, существенно удобнее иметь возможность прямого обращения ко всей сети сразу, что может быть обеспечено сервисами VPN. Кроме того, этим технологии помогут и объединить две или несколько сетей в одну с прозрачным обменом данными между ними.
В данной публикации нет задачи максимально подробно рассказать про все распространенные протоколы VPN и их особенности. Сосредоточимся преимущественно на практической стороне вопроса сценария подключения удаленного клиента и попробуем сравнить разные варианты по удобству и производительности.
Сервисы VPN сегодня все чаще встречаются в прошивках беспроводных роутеров и, пожалуй, наибольшее их число представлено в решениях Keenetic, так что именно они и будут использованы в статье. Заметим, что если говорить именно о скорости, очень многое в данном случае зависит и от аппаратной платформы роутера и от программной реализации. Причем второй аспект может быть даже важнее. Кроме того, поскольку прошивки обычно закрытые, то и доступные через Web-интерфейс набор параметров серверов может отличаться. Влияние на производительность, конечно, оказывают и настройки сервисов. В данной статье я обычно использовал заданные производителем значения по умолчанию.
Также стоит отметить, что конкретно у решений Keenetic есть очень подробная база знаний на сайте, в статьях которой приводятся примеры настройки и использования дополнительных сервисов, включая все описанные в статье.
Текущая линейка продуктов компании основана на двух моделях процессоров (SoC) производства Mediatek – MT7628 и MT7621. На первом, имеющим одно вычислительное ядро, реализованы модели со 100 Мбит/с портами. Второй, с двумя ядрами, способными исполнять четыре потока, используется в устройствах с гигабитными портами. Более подробную информацию о конфигурациях устройств можно получить, например, в форуме iXBT.
Так что по сути, если взять по одному представителю на каждом чипе, можно охватить всю линейку роутеров компании в описываемой задаче, поскольку Wi-Fi, порты USB и объемы памяти здесь не существенны.
Для теста использовались устройства Keenetic City KN-1510 (младшая из двухдиапазонных) и Keenetic Ultra KN-1810 (старшая модель на данный момент).
Напомним, что прошивки у данного производителя модульные, так что в общем случае каждый пользователь может собрать свой уникальный вариант из требуемых сервисов и функций. Однако если для старших моделей с флешпамятью большой емкости можно не переживать про объем, то для младших ситуация существенно сложнее. В частности в данном тестировании приходилось добавлять на Keenetic City не более двух серверов за один раз. Кроме того, при анализе результатов не забываем, что эта модель имеет только 100 Мбит/с порты, что в определенных режимах будет выступать ограничением.
Все рассматриваемые в статье протоколы для своей работы в обязательном порядке требуют белого адреса на стороне сервера, что выглядит вполне логичным. Однако один из вариантов, благодаря специальным решениям Keenetic, можно использовать и без него.
Тестирование проводилось с прошивками версии 3.3.16. Режим подключения к Интернет – IPoE. В тестировании оценивалась скорость доступа внешнего клиента к компьютеру внутри локальной сети за роутером.
PPTP и L2TP
Одни из наиболее известных протоколов для реализации удаленного доступа – PPTP и L2TP. Первый уже считается небезопасным, хотя продолжает использоваться из-за невысокой требовательности к ресурсам. Заметим, что в нем предусмотрен как вариант без шифрования трафика, так и с ним. Одной из особенностей данного решения является использование специального протокола туннелирования, который часто бывает заблокирован домашними провайдерами, что приводит к невозможности использования данного типа подключения. Кроме того, используемые алгоритмы шифрования обычно не «ускоряются» специальными блоками в SoC.
Второй запомнился, прежде всего, использованием в сети одного из крупных отечественных провайдеров и отсутствием его поддержки у недорогих роутеров многих производителей.
Штатные клиенты для этих протоколов существуют во многих операционных системах, включая мобильные, что упрощает настройку подключения. Заметим, однако, что для L2TP обычно используется вариант L2TP/IPSec, в котором кроме привычного имени и пароля пользователя нужно также указать и общий ключ. Он и будет протестирован в этот раз.
Подключить сервисы несложно – после установки соответствующих модулей необходимо в меню «Управление» — «Приложения» включить серверы.
Из настроек предусмотрены разрешение нескольких одновременных входов для одного аккаунта, активация NAT для клиентов (они смогут выходить в Интернет через этот роутер), выбор IP-адресов для выделения клиентам и выбор сегмента сети для доступа.
Кроме того, для PPTP можно разрешить подключения без шифрования, а для L2TP/IPSec необходимо установить общий секретный ключ.
Оба сервиса позволяют запрограммировать в роутере несколько учетных записей пользователей и разрешить им доступ по VPN.
При настройке клиентов необходимо указать внешний адрес роутера (IP или имя хоста, что можно реализовать, например, через KeenDNS), аккаунт пользователя, для L2TP/IPSec – дополнительно общий секретный ключ. При работе с PPTP и штатным клиентом Windows необходимо учесть описанные в статье базы знаний особенности.
Для данных протоколов использовались штатные клиенты ОС Windows 10.
Keenetic City в PPTP без шифрования показывает близкие к скорости портов результаты. Хотя, вероятно, мало кого устроит незащищенное от перехвата данных подключение. Использование MPPE в PPTP снижает показатели примерно до 30 Мбит/с, что, в целом, очень неплохо для относительно недорогой модели (напомню, что сходные цифры будут и на самом младшем устройстве текущей линейки). Что касается L2TP/IPSec, то здесь можно рассчитывать не более чем на 10 Мбит/с, поскольку в данном случае применяется шифрование DES, а в Keenetic City оно не поддерживается аппаратно.
Заметно более мощная платформа Keenetic Ultra показывает и более высокие результаты: до 300 Мбит/с в PPTP без шифрования и в среднем около 80 Мбит/с в PPTP с шифрованием и L2TP/IPSec.
Итого мы видим, что данные реализации обеспечивают хорошую производительность, за исключением L2TP/IPSec на младшей модели, и просты в настройке благодаря стандартным клиентам.
OpenVPN
Следующий по распространенности в серверах домашних роутеров протокол VPN – OpenVPN. Благодаря реализации с открытым исходным кодом на базе библиотеки OpenSSL, данный протокол очень часто встречается в совершенно разных продуктах, а найти под него клиента не составляет труда для большинства операционных систем.
Данный сервис имеет очень гибкие настройки (включая режим работы, выбор опций шифрования, сертификаты, ключи, маршрутизация и так далее), которые обычно задаются в виде текстовых конфигурационных файлах. Это имеет и обратную сторону – новичкам может быть непросто настроить работу по данному протоколу. Но если говорить о Keenetic, то в статьях базы знаний можно скачать готовые конфигурационные файлы, в которых нужно будет только поменять адрес сервера. Впрочем, с точки зрения безопасности, безусловно, нужно будет сделать свои ключи или сертификаты.
Протокол использует через стандартные соединения TCP или UDP и позволяет выбрать порт. Так что работать с ним можно будет практически в любой ситуации.
В роутерах Keenetic нет отдельного пункта «сервер OpenVPN», данный тип соединений настраивается в разделе «Интернет» — «Другие подключения». Кроме того, потребуется настроить еще несколько опций в других местах (в частности правила для межсетевого экрана), а в некоторых случаях – и в консоли. На сайте поддержки Keenetic этому протоколу посвящено несколько подробных материалов. При определенном опыте, можно реализовать одновременное обслуживание сервером нескольких клиентов. Но это будет явно сложнее, чем простое добавление пользователей в общий список доступа. Для тестов использовался стандартный клиент для Windows с сайта OpenVPN.
По скорости на младшей модели мы получаем до 10 Мбит/с, а на старшей – примерно в два с половиной раза больше. Данный протокол, вероятно из-за своей гибкости, имеет определенные сложности работы через «ускорители», так что скорость работы принесена в жертву универсальности. Впрочем, на других SoC (в частности, топовых Broadcom) его реализация показывает в несколько раз более высокие результаты.
Данный вариант можно рекомендовать сторонникам открытого программного обеспечения и тем, кому требуется максимальная гибкость настройки сервисов. В плюсах также возможность работы по стандартным TCP/UDP соединениям и любым портам.
SSTP
Относительно недавно был представлен VPN-протокол SSTP, основанный на SSL. Его преимуществом является работа через HTTPS и стандартный порт 443. Так что в общем случае, можно считать, что он способен легко проходить через межсетевые экраны и прокси. Первоначально он был интегрирован в ОС семейства Windows, но сегодня встречается и на других платформах.
Реализация данного сервера в Keenetic интересна тем, что позволяет осуществлять удаленный доступ без белого адреса на роутере – через сервис Keenetic Cloud с шифрованием на всем пути. Заметим, что при работе через облако Keenetic Cloud, по своей сути, невозможно обеспечить гарантированную скорость доступа, поскольку нагрузка зависит от числа пользователей и их активности. В тестах использовалось прямое подключение и штатный клиент в Windows.
Настройки в данном случае также очень простые. После обязательной регистрации на KeenDNS, получения сертификата SSL, разрешения доступа к роутеру из Интернет по HTTPS идем в «Управление» — «Приложения» и включаем VPN-сервер SSTP. В параметрах можно разрешить множественный вход, выход в Интернет через роутер, выбрать выдаваемые пользователям адреса, а также указать разрешенные для этого сервиса учетные записи.
В целом результаты аналогичны предыдущему участнику – до 10 Мбит/с на младшей модели и до 30 Мбит/с на старшей.
Основным плюсом данного сервиса является работа по стандартному протоколу HTTPS и возможность использования через облачный сервер без наличия белого адреса на роутере. Минус – необходимость использования сторонних клиентов на отличных от Windows операционных системах.
IPSec
Эта группа протоколов, пожалуй, наиболее часто упоминается для решения задачи объединения сетей у «больших компаний на серьезном оборудовании». Основной проблемой при работе с IPSec для обычных пользователей является сложность настройки, так что на наш взгляд, его использование с домашним оборудованием является уделом хорошо подготовленных сотрудников ИТ-отделов или энтузиастов. С другой стороны, его реализация в Keenetic присутствует, а на сайте поддержки есть соответствующие статьи базы знаний. Потратив немного больше времени, чем с другими участниками, вполне можно настроить его работу со стандартным клиентом Windows.
Как и для OpenVPN, работа с IPSec осуществляется в разделе «Интернет» — «Другие подключения». Набор параметров явно не для новичка в сетевых технологиях. Нужно выбрать вариант идентификации, опции для двух фаз осуществления соединения, маршруты и так далее. Непросто настроить и соединение со стороны клиента. Можно конечно попробовать действовать «по картинкам», но если что-то пойдет не так, разобраться, не имея определенной базы знаний, будет сложно. Посмотрим, стоила ли игра свеч с точки зрения скорости.
Судя по результатам – вполне. Младшая модель способна обеспечить защищенное соединение со скоростью порядка 50 Мбит/с, а старшая работает в три раза быстрее. Да, конечно это решение не для всех, учитывая сложности настройки. Скорее данный тип соединения будет интересен для сценария объединения сетей, а не подключения удаленных клиентов.
Кстати, в прошивках Keenetic есть и специальный сервер IPSec (Virtual IP), который позволяет легко настроить доступ к роутеру и локальной сети за ним с мобильных устройств на Android и iOS через их штатные клиенты. В нем используется общий ключ и учетная запись пользователя. Остальные параметры установлены автоматичеки по требованиям совместимости с клиентами.
WireGuard
Еще один новый игрок в сегменте VPN-сервисов – протокол WireGuard. Можно сказать, что ему буквально на днях исполнилось два года. Он похож на OpenVPN по своему статусу программного обеспечения с открытым исходным кодом. При этом авторы WireGuard постарались сосредоточиться на использовании современных технологий и протоколов согласования ключей и шифрования и обойти узкие места других реализаций. Это позволило существенно сократить объем кода, оптимизировать скорость и реализовать решение в виде модуля для ядра Linux. В настоящий момент есть клиенты для всех распространенных операционных систем для компьютеров и мобильных устройств.
Сложность настройки в текущей реализации Keenetic можно оценить как среднюю. Сервис заводится в разделе «Интернет» — «Другие подключения» и позволяет также объединять сети, а не только подключать удаленных клиентов. Сначала производится генерация пары ключей (закрытого и публичного) для сервера. На тоже клиенте будет проведена аналогичная операция. В настройках пиров нужно будет указывать публичные ключи второй стороны. Также на стороне роутера присутствует выбор номера порта, подсетей и другие параметры. В случае вопросов, лучше обратиться на сайт поддержки Keenetic, где описаны процедура настройки этого сервиса. Кроме того, потребуется настройка правил межсетевого экрана и маршрутизации. В случае необходимости выхода удаленного клиента в Интернет через роутер нужно будет поработать и в консоли. В фирменном клиенте для Windows конфигурация задается в виде текстового файла. Параметры аналогичны настройкам в роутере. При необходимости на стороне сервера можно запрограммировать несколько пиров, что позволит одному серверу обслуживать одновременно несколько клиентов.
Тестирование показало, что данных протокол выступает по скорости очень хорошо и его результаты сравнимы с традиционным IPSec. Младшая модель способна показать 40-50 Мбит/с, а старшая – 150-220 Мбит/с.
На наш взгляд, это очень неплохое начало. Если бы еще немного упростить конфигурацию (например, создавать все требуемые настройки на стороне роутера, так что пользователю останется только скачать готовый файл настроек и импортировать его на клиенте), то будет и удобно, и быстро, и безопасно.
Заключение
Все рассмотренные протоколы удаленного доступа имеют свои уникальные особенности и выбор будет зависеть от условий и требований пользователя, включая уровень подготовки и тип операционной системы на клиенте. С точки зрения простоты настройки оптимальным универсальным вариантом можно считать L2TP/IPSec. Однако на младших моделях он все-таки небыстрый, так что и PPTP найдется место. SSTP имеет смысл в случае отсутствия белого адреса на роутере. Если же хочется скорости, то стоит посмотреть в сторону WireGuard, но нужно будет потратить немного больше времени на настройку. OpenVPN и IPSec выберут те, кто уже знаком с этими протоколами и умеет с ними обращаться.
Виды VPN-соединений (PPTP, L2TP, IPSec, SSL)
Что такое Виртуальная частная сеть (VPN)?
Раньше для осуществления безопасной передачи данных возникала необходимость в выделенной линии, связывающей два пункта. Расходы на организацию таких линий довольно велики.
Виртуальная частная сеть дает пользователям безопасный способ доступа к ресурсам корпоративной сети через Интернет или другие общественные или частные сети без необходимости выделения линии.
Безопасная частная виртуальная сеть представляет собой совокупность технологий/служб туннелирования, аутентификации, управления доступом и контроля, используемых для защиты данных и передачи трафика через Интернет.
Существует много причин для использования виртуальных частных сетей. Наиболее типичны следующие из них:
Безопасность (защита данных).
С помощью аутентификации получатель сообщения, являющийся пользователем виртуальной частной сети, может отслеживать источник полученных пакетов и обеспечить целостность данных.
С средств защиты данных в виртуальных частных сетях гарантируется конфиденциальность исходных пользовательских данных.
Стоимость (снижение количества линий доступа и уменьшение расходов на междугороднюю телефонную связь).
Организация виртуальной частной сети позволяет компании передавать данные через линии доступа к Интернету, таким образом уменьшая необходимость в некоторых из существующих линий.
При организации виртуальной частной сети снижаются расходы на междугороднюю телефонную связь, поскольку пользователь обычно получает услуги от местного Интернет-провайдера, а не совершает междугородний звонок для установления прямой связи с компанией.
Известно, что сети, использующие протокол IP, имеют «слабое место», обусловленное самой структурой протокола IP. Разработчики IP не намеревались обеспечивать каких-либо функций безопасности на уровне IP, а гибкость IP позволяет хитроумно использовать особенности данного протокола в целях преодоления контроля за трафиком, управления доступом и других мер безопасности. Поэтому данные в сети, использующей протокол IP, могут быть легко подделаны или перехвачены.
При туннелировании для передачи по сети протокольных пакетов сети одного типа они вставляются или инкапсулируются в протокольные пакеты другой сети. Это обеспечивает безопасность при передаче данных.
Протоколы для построения VPN-туннеля:
PPTP
PPTP (Point-to-Point Tunneling Protocol) — туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. Протокол PPTP позволяет инкапсулировать (упаковывать или скрыть от использования) пакеты PPP в пакеты протокола Internet Protocol (IP) и передавать их по сетям IP (в том числе и Интернет).
PPTP обеспечивает безопасную передачу данных от удаленного клиента к отдельному серверу предприятия путем создания в сети TCP/IP частной виртуальной сети. PPTP может также использоваться для организации туннеля между двумя локальными сетями. PPTP работает, устанавливая обычную PPP-сессию с противоположной стороной с помощью протокола Generic Routing Encapsulation (GRE). Второе соединение на TCP порту 1723 используется для инициации и управления GRE-соединением. Для защиты данных PPTP-трафика может быть использован протокол MPPE. Для аутентификация клиентов могут использоваться различные механизмы, наиболее безопасные из них — MSCHAPv2 и EAP-TLS.
Для обеспечения работы клиента по протоколу PPTP, необходимо установить IP-соединение с туннельным сервером PPTP. Все передаваемые по этому соединению данные могут быть защищены и сжаты. По туннелю PPTP могут передаваться данные различных протоколоыв сетевого уровня (TCP/IP, NetBEUI и IPX).
Преимущества протокола PPTP:
- Использование частного IP-адреса. Пространство IP-адресов частной сети не должно координироваться с пространством глобальных (внешних) адресов.
- Поддержка множества протоколов. Можно осуществлять доступ к частным сетям, использующим различные комбинации TCP/IP или IPX.
- Безопасность передачи данных. Для предотвращения несанкционированного подключения используются протоколы и политики обеспечения безопасности сервера удаленного доступа.
- Возможность использования аутентификации и защиты данных при передачи пакетов через Интернет.
L2TP
L2TP (Layer 2 Tunneling Protocol) — протокол туннелирования уровня 2 (канального уровня). Объединяет протокол L2F (Layer 2 Forwarding), разработанный компанией Cisco, и протокол PPTP корпорации Microsoft. Позволяет организовывать VPN с заданными приоритетами доступа, однако не содержит в себе средств для защиты данных и механизмов аутентификации.
Протокол L2TP использует сообщения двух типов: управляющие и информационные сообщения. Управляющие сообщения используются для установления, поддержания и ликвидации туннелей и вызовов. Для обеспечения доставки ими используется надежный управляющий канал протокола L2TP. Информационные сообщения используются для инкапсулирования кадров PPP, передаваемых по туннелю. При потере пакета он не передается повторно.
Структура протокола описывает передачу кадров PPP и управляющих сообщений по управляющему каналу и каналу данных протокола L2TP. Кадры PPP передаются по ненадежному каналу данных, предварительно дополняясь заголовком L2TP, а затем — по транспорту для передачи пакетов, такому как Frame Relay, ATM и т.п. Управляющие сообщения передаются по надежному управляющему каналу L2TP с последующей передачей по тому же транспорту для пересылки пакетов.
Все управляющие сообщения должны содержать порядковые номера, используемые для обеспечения надежной доставки по управляющему каналу. Информационные сообщения могут использовать порядковые номера для упорядочивания пакетов и выявления утерянных пакетов.
Преимущества протокола L2TP:
-
Разнообразие протоколов. Так как используется кадрирование PPP, удаленные пользователи могут использовать для доступа к корпоративому узлу большое количество различных протоколов, таких как IP, IPX и т.д. -
Создание туннелей в различных сетях. L2TP может работать как в сетях IP, так и в сетях ATM, Frame Relay и др. -
Безопасность передачи данных. При этом, пользователь не должен иметь никакого специального программного обеспечения. -
Возможность аутентификации пользователей.
IPSec
IPSec (IP Security) — набор протоколов, касающихся вопросов обеспечения защиты данных при транспортировке IP-пакетов. IPSec также включает в себя протоколы для защищённого обмена ключами в сети Интернет. Протоколы IPSec работают на сетевом уровне (уровень 3 модели OSI).
Internet-протокол (IP) не имеет средств защиты передаваемых данных. Он даже не может гарантировать, что отправитель является именно тем, за кого он себя выдает. IPSec представляет собой попытку исправить ситуацию. При использовании IPSec весь передаваемый трафик может быть защищен перед передачей по сети. При использовании IPSec получатель сообщения может отслеживать источник полученных пакетов и удостовериться в целостности данных. Необходимо быть уверенным в том, что транзакция может осуществляться только один раз (за исключением случая, когда пользователь уполномочен повторять ее). Это означает, что не должно существовать возможности записи транзакции и последующего ее повторения в записи с целью создания у пользователя впечатления об осуществлении нескольких транзакций. Представьте себе, что мошенник получил информацию о трафике и знает, что передача такого трафика может дать ему какие-то преимущества (например, в результате на его счет будут переведены деньги). Необходимо обеспечить невозможность повторной передачи такого трафика.
С помощью виртуальной частной сети (VPN) можно решать следующие прикладные задачи:
- Виртуальная частная сеть между организациями
- Мобильный пользователь
- Пользователь SOHO
IPSec VPN оптимален для объединения сетей разных офисов через Интернет.
Можно устанавливать VPN-соединение с использованием протокола IPSec.
Для пользователей SMB/SOHO (Малый бизнес/Малый офис/Домашний офис):
- Экономическая эффективность
- Законченное решение для коммерческого использования
Для дистанционных пользователей:
- Интегрированное безопасное решение
- Нет необходимости в дополнительном программном обеспечении
- Простота конфигурирования
Для коллективных пользователей:
- Экономически эффективное решение для дистанционных пользователей и филиалов
- Совместимость с решениями большинства поставщиков решений для виртуальных частных сетей.
Существует две разновидности протокола IPSec: ESP (Encapsulation Security Payload, инкапсуляция защищенных данных) и AH (Authentication Header, Аутентифицирующий заголовок). ESP и AH — новые протоколы IP. О том, что пакет является пакетом ESP, говорит значение в поле протокола заголовка IP, равное 50, а для пакета AH — равное 51.
В пакетах ESP и AH между заголовком IP (IP header) и данными протокола верхнего уровня вставляется заголовок ESP/AH (ESP/AH header).
ESP может обеспечивать как защиту данных, так и аутентификацию, а также возможен вариант протокола ESP без использования защиты данных или без аутентификации. Однако, невозможно использовать протокол ESP одновременно без защиты данных и без аутентификации, поскольку в данном случае безопасность не обеспечивается. При осуществлении защиты передаваемых данных заголовок ESP не защищен, но защищены данные протокола верхнего уровня и часть трейлера ESP.
А в случае аутентификации производится аутентификация заголовка ESP, данных протокола верхнего уровня и части трейлера ESP.
Хотя протокол AH может обеспечивать только аутентификацию, она выполняется не только для заголовка AH и данных протокола верхнего уровня, но также и для заголовка IP.
Протоколы семейства IPSec могут использоваться для защиты либо всех полезных данных IP-пакета, либо данных протоколов верхнего уровня в поле полезных данных IP-пакета. Это различие определяется выбором двух различных режимов протокола IPSec: транспортного режима или туннельного режима.
Транспортный режим в основном используется хостом IP для защиты генерируемых им самим данных, а туннельный режим используется шлюзом безопасности для предоставления услуги IPSec другим машинам, не имеющим функций IPSec. Однако функции хоста IPSec и шлюза безопасности могут выполняться одной и той же машиной. Оба протокола IPSec, AH и ESP, могут выполняться в транспортном или туннельном режиме.
SSL VPN
SSL (Secure Socket Layer) протокол защищенных сокетов, обеспечивающий безопасную передачу данных по сети Интернет. При его использовании создается защищенное соединение между клиентом и сервером.
SSL использует защиту данных с открытым ключом для подтверждения подлинности передатчика и получателя. Поддерживает надёжность передачи данных за счёт использования корректирующих кодов и безопасных хэш-функций.
SSL использует RC4, MD5, RSA и другие алгоритмы защиты данных.
SSL использует два ключа для защиты данных — открытый ключ и закрытый или частный ключ известный только получателю сообщения.
На сегодняшний день, в сети Интернет можно встретить множество сайтов на которых используется протокол SSL для обеспечения безопасности пользовательских данных (например, веб-сайты предоставляющие коммерческие и банковские сервисы). Практически все самые популярные браузеры, почтовые клиенты и интернет-приложения поддерживают работу с протоколом SSL. Для доступа к страницам, защищённым протоколом SSL, в URL вместо обычного префикса http, как правило, применяется префикс https (порт 443), указывающий на то, что будет использоваться SSL-соединение.
SSL также может обеспечить защиту протоколов прикладного уровня (уровень 7 модели OSI), например, таких как POP3 или FTP. Для работы SSL требуется, чтобы на сервере имелся SSL-сертификат.
Безопасное соединение между клиентом и сервером при использовании SSL выполняет две функции — аутентификацию и защиту данных.
SSL состоит из двух уровней. На нижних уровнях (уровни 4-5) многоуровневого транспортного протокола (например, TCP) он является протоколом записи и используется для инкапсуляции (то есть формирования пакета) различных протоколов. Для каждого инкапсулированного протокола он обеспечивает условия, при которых сервер и клиент могут подтверждать друг другу свою подлинность, выполнять защиту передаваемых данных и производить обмен ключами, прежде чем протокол прикладной программы начнет передавать и получать данные.
Преимущества протокола SSL:
- Простота использования
- Нет необходимости в дополнительном программном обеспечении
- Безопасный удаленный доступ
SSL VPN оптимален для подключения удаленных пользователей к ресурсам локальной сети офиса через Интернет.
Источник
PPTP vs L2TP через роутер / Хабр
Я являюсь пользователем безлимитного тарифного плана Corbina 10 Мбит/с. Дома стоит wi-fi роутер ASUS WL-520gc, раздает интернет на 3 машины, из них на 2 по wi-fi. Проблема была в том, что при скачке с торрент-сетей (легального контента) скорость никак не могла перевалить через 800 Кбайт/с. Первым делом я решил позвонить в тех. поддержку. Первые три «специалиста» переключали меня дальше в течении трех минут разговора, и в итоге я наконец-то попал на человека с самим тихим голосом. В течении 40 минутной беседы с перерывами на музыкальные паузы мы выяснили следующее:
- По тестам скорость не превышает 375 Кбайт/с.
- Зато, с ftp.yandex.ru скорость достигала 500 Кбайт/с.
- Я использую тип подключения PPTP.
- Если подключиться на прямую (без роутера), скорость соответствует заявленой тарифом.
Разговор окончился 15 минутным ожиданием с последующими короткими гудками.
Сидеть без роутера было не круто, и я продолжил поиски. Теперь в гугле. Пройдясь по форумам, я нашел несколько решений проблемы. Люди советовали делать следующее:
- Отключить фаерволл Корбины на stat.corbina.ru. Идея показалась мне сомнительной, не понимаю, как блокировка портов может повлиять на скорость.
- Удалить Касперского. На сколько я понял это самое распространенное решение любой проблемы с любой версией Windows. Как бы то ни было, Касперского у меня не стоит, поэтому этот шаг я тоже не выполнял.
- Отключить шифрование wi-fi (у меня WPA). Похоже на правду, но сидеть беззащитным не хотелось (безопасники, только не начинайте). Вместо этого, я проверил скорость при подключении к роутеру через кабель. Никаких отличий от зашифрованного wi-fi не заметил.
- Перейти с PPTP на L2TP, который пока находится на стадии тестирования. Вместе с советом шла аргументация, дескать, PPTP шифрование реализованно в данном роутере не аппаратно, а программно, что резко снижает скорость обмена.
Перенастройка роутера на L2TP заняла одну минуту, и, о чудо, скорость поднялась до 1.2 МБайт/с!
Вывод
Если Вы подключены:
- Через роутер.
- По VPN.
И у Вас низкая скорость, проверьте, чтобы тип подключения (Connection type в настройках WAN) был L2TP.
Сравнительный обзор реализаций технологии VPN
Вводная информация
Многие из вас используют для своих корпоративных или личных задач VPN и знают, что существует немалое количество реализаций этой технологии. Каждая из них имеет свои плюсы и минусы. Этот пост посвящен краткому сравнительному анализу самых распространенных на сегодняшний день программных решений для создания виртуальных частных сетей. Данная информация, на наш взгляд, может оказаться полезной для кого-то из вас в качестве отправной точки изучения темы Virtual Private Network или для проверки существующих знаний.
Частное облако от 1cloud.ru
- Любые конфигурации виртуальных серверов
- Бесплатные частные сети
- Полная автоматизация управления
Прежде чем перейти к сравнению, обозначим круг задач, решение которых ложится на любую виртуальную частную сеть:
- Необходимо маркировать узлы виртуальной сети и осуществлять корректную адресацию пакетов, предназначенных конкретным клиентам.
- Чтобы сохранить конфиденциальность передаваемых по сети данных, требуется эффективное и, в то же время, не слишком жадное до ресурсов шифрование «на лету», а также полное исключение прохождения информации в открытом виде.
- Для обеспечения целостности VPN также необходимы аутентификация участников при подключении к сети и проверка источников данных для защиты сети от попадания в нее несанкционированных узлов и пакетов.
Для выполнения этих задач различные типы VPN используют разные протоколы и инструменты, качество сочетания которых и позволяет оценить эффективность той или иной реализации Virtual Private Network.
Для оценки реализаций технологии виртуальных частных сетей мы принимаем во внимание показатели их безопасности, скорости и стабильности работы. В наши дни не менее важными параметрами стали и такие, как кроссплатформенность и простота конфигурации.
Сравнивать мы будем:
PPTP (Point-to-Point tunneling protocol)
PPTP(Point-to-Point Tunneling Protocol) был создан корпорацией Microsoft и опубликован еще в далеком 1999-м году, но активно используется по сей день, несмотря на солидный возраст. Использует TCP для соединения и протокол MPPE от той же Microsoft для шифрования. Аутентификация клиентов,как правило, обеспечивается механизмом MS-CHAPv2.
Распространенность PPTP VPN связана с простотой настройки и кроссплатформенностью – его поддержка встроена в большинство современных операционных систем, включая мобильные и роутерные, по умолчанию. Еще одна причина популярности этого решения – минимальная нагрузка на вычислительные ресурсы и, следовательно, высокая скорость работы. Стабильность PPTP также не вызывает сомнений.
С точки зрения безопасности PPTP достаточно давно скомпрометировал себя. На сегодняшний день в нем обнаружено большое количество уязвимостей, относящихся и к устройству протокола MMPE (напр., изменение исходящего потока RC4), и к элементу аутентификации MS-CHAP (в 2012 году даже появился онлайн-сервис, подбирающий MS-CHAPv2 ключ за 23 часа). Несмотря на то, что последняя проблема решается сменой механизма аутентификации с MS-CHAP на PEAP , сама компания Microsoft теперь рекомендует использовать L2TP или SSTP.
IPSec (IP Security)
IPsec (IP Security) представляет собой группу протоколов, обеспечивающих конфиденциальность данных, передаваемых через IP-сети, путем проверки их подлинности и целостности, а также шифрования передаваемых пакетов. IPsec может работать в транспортном и туннельном режимах. Если в первом случае шифруются только данные передаваемого пакета, а исходный заголовок сохраняется, то во втором шифруется весь передаваемый трафик, который затем инкапсулируется в поле данных нового IP-пакета. Транспортный режим IPsec применительно к созданию VPN-сетей используется в связке с другими реализациями (обычно L2TP), туннельный же сам по себе является может являться методом создания VPN-туннеля.
Шифрование соединения IPsec обеспечивается следующими средствами:
Отличительной особенностью IPsec, которая несколько отдаляет его от определения «VPN» является то, что он не создает в системе дополнительный виртуальный сетевой адаптер, а использует стандартный внешний интерфейс. В целом, IPsec является даже не реализацией технологии виртуальных частных сетей, а инструментом защиты от подмены передаваемых IP-пакетов. Развертывание же виртуальных туннелей – скорее «побочное» свойство этого стека протоколов.
IPsec поддерживается всеми современными операционными системами (серверными, настольными, мобильными) а также рядом роутеров, причем при настройке VPN на последних отпадает необходимость каких либо манипуляций на клиентах, находящихся за этими роутерами.
Благодаря вышеописанным характеристикам IPsec считается одним из лучших решений для применения в сетях VPN.
Конечно, и здесь не обошлось без уязвимостей. Известно, что при работе в транспортном режиме IPsec может подвергаться атакам, направленным на протокол ISAKMP. Помимо этого, при работе IPsec без заголовков AH атакующий может совершить инъекцию собственных данных в передаваемые пакеты. Также известен способ атаки, при котором подменяется маршрут передачи пакетов (актуально для транспортного режима IPSec «в чистом виде»). В последнее время стало известно о новом эксплойте , позволяющем расшифровать IPsec-трафик через уязвимость в IKE.
L2TP (Layer 2 Tunneling Protocol) и L2TP+IPSec
L2TP(Layer 2 Tunneling Protocol) — протокол туннелирования для виртуальных частных сетей. Представляет собой симбиоз протокола L2F (Layer 2 Forwarding) компании Cisco и описанного выше PPTP. Позволяет создавать VPN-сети с разграничением прав доступа, но имеет один недостаток — не шифрует трафик. Этот протокол берет на себя ответственность за конфиденциальность и целостность L2TP-пакетов внутри туннеля, и при этом требует обеспечения шифрования и аутентификации для всего трафика, проходящего через него, на пакетном уровне. Для этой задачи, как правило, используется IPsec.
Связка L2TP/IPsec также присутствует во всех сегодняшних ОС, и настраивается со стороны клиента не сложнее, чем PPTP. Единственное, что может усложнить конфигурацию – L2TP использует, в том числе UDP-порт 500, который иногда блокируется, если вы находитесь за NAT. Поэтому может потребоваться дополнительная настройка firewall или роутера (переадресация портов), которая не требуется для решений, использующих стандартный для HTTPS порт TCP 443.
LT2P/IPsec на данный момент считается весьма безопасным решением при использовании таких алгоритмов шифрования, как AES. Однако, поскольку он инкапсулирует данные дважды, то работает несколько медленнее реализаций, использующих SSL (напр., OpenVPN или SSTP).
С точки зрения стабильности работы L2TP/IPsec заслуживает отличной оценки.
Минусом LT2P/IPsec (если кого-то в наше время беспокоят такие параметры) является то, что он использует почти в два раза больше ресурсов CPU для обеспечения двойного инкапсулирования.
SSTP (Secure Socket Tunneling Protocol)
SSTP (Протокол безопасного туннелирования сокетов (Secure Socket Tunneling Protocol) – еще одно детище Microsoft, представленное с выходом Windows Vista. На сегодняшний день в качестве SSTP-сервера может выступать уже не только Windows Server 2008/2012, но и машина под управлением Linux или RouterOS. Но в последних случаях это решение нельзя назвать полнофункциональным. Благодаря поддержке SSL v.3, SSTP может работать без конфигурации маршрутизатора/межсетевого экрана, а интегрированность в Windows упрощает настройку и обеспечивает стабильную работу. Для шифрования используется стойкий AES (до 256 бит шифрование с сертификатами до 2048-бит).
При том, что SSTP имеет множество плюсов и является молодой развивающейся технологией, на данный момент, это решение является действительно подходящим для Windows-сетей – в иных случаях можно столкнуться с ограничениями.
OpenVPN
OpenVPN – относительно молодая (увидела свет в 2002 году) open-source реализация VPN, распространяемая под лицензией GNU GPL. Безопасность разворачиваемых туннелей здесь обеспечивается библиотекой OpenSSL , которая предлагает большой ассортимент открытых инструментов шифрования (Blowfish, AES, Camelia, 3DES, CAST и т.д.). От выбранного алгоритма зависит и скорость работы OpenVPN. Как правило, эта реализация оказывается быстрее и скромнее в нагрузке на аппратные ресурсы сравнительно с L2TP/IPsec.
Еще один существенный плюс OpenVPN – возможность проходить через NAT и Firewall без их дополнительной конфигурации по стандартному для HTTPS порту TCP 443 благодаря SSL/TLS-инкапсуляции. Предусмотрена и работа по протоколу UDP – именно этот вариант установлен в конфигурации по умолчанию. ТCP обеспечивает высокую надёжность передачи данных, однако имеет большие задержки по сравнению с UDP, который выигрывает в скорости за счёт отсутствия подтверждения доставки пакетов. При использовании же протокола TCP OpenVPN оказывается самым медленным участником нашего обзора.
В OpenVPN также используется инструмент LZO для сжатия данных.
Благодаря широким возможностям конфигурации и поддержке большинства ОС, OpenVPN стал очень популярным продуктом. Единственный нюанс – необходимость установки стороннего ПО, хотя и достаточного ненавязчивого. В нашей базе знаний представлены пошаговые инструкции по конфигурации OpenVPN-сервера на Ubuntu/Debian, CentOS, Windows . Для развертывания виртуальной частной сети вы можете использовать наш облачный VPS-сервер .
В этой реализации также предусмотрен ряд дополнительных возможностей безопасности частной сети. Обзор основных из них вы также можете найти в нашей базе знаний.
Гибкость OpenVPN может породить лишь одну проблему – сделать конфигурацию весьма утомительной. Но эта проблема может быть решена через подготовку преднастроенных установочных клиентских пакетов или через использование OpenVPN Remote Access Server .
Заключение
Выбор подходящей реализации VPN зависит от ваших конкретных задач. Ниже приведены основные тезисы представленного выше краткого обзора, призванные помочь в этом выборе.
Протокол PPTP стабилен и прост в использовании, но в наши дни очень уязвим с точки зрения безопасности, поэтому подходит для ситуаций, в которых конфиденциальность туннеля не играет решающего значения. Хотя и в этом случае все преимущества PPTP можно найти и в IPsec или L2TP+IPsec, будь то кроссплатформенность или порог вхождения в конфигурацию для администратора. При этом, LT2P/IPsec предлагает значительно более высокий уровень безопасности.
IPsec может работать с большим количеством алгоритмов шифрования и аутентификации для VPN, хотя сам по себе является не реализацией технологии виртуальных частных сетей, а стеком протоколов для защиты IP-пакетов при их передаче. При этом IPsec вполне подходит для развертывания VPN, «заточенных» на безопасность. Обычно для этих целей IPsec используется в связке с L2TP, но в последнее время наблюдаются некоторые перемены в этой практике. В целом, широкие возможности IPsec позволяют считать его одним из лучших решений для VPN.
L2TP в связке с IPsec является хорошим решением и с точки зрения безопасности, и в плане совместимости с популярными ОС. Может также потребоваться дополнительная настройка роутера/firewall на разрешение используемых LT2P/IPsec портов (UDP 1701, UDP 4500, UDP 500). Второй минус – двойная инкапсуляция, приводящая к замедлению работы туннеля.
Протокол SSTP удобен в конфигурации, стабилен и достаточно безопасен, но его существенный недостаток лежит в аспекте кроссплатформенности – данная реализация сильно привязана к системам, предлагаемым Microsoft. При работе на альтернативных платформах функциональность SSTP обычно оказывается не такой привлекательной.
OpenVPN можно назвать оптимальным выбором для большинства стандартных пользовательских задач. В этой реализации сбалансированы:
- Скорость: за счет сжатия LZO и возможности работы по протоколу UDP
- Стабильность: особенно при работе через TCP
- Гибкость конфигурации: предусмотрены дополнительные опции, например, балансировка нагрузки, различные типы аутентификации
- Кроссплатформенность: наличие клиентских приложений для большинства современных ОС, в т.ч. мобильных
- Безопасность: благодаря работе со всеми инструментами библиотеки openssl
Сами перечисленные выше широкие возможности порождают и недостаток OpenVPN – первичная конфигурация может оказаться сложнее, чем в случае с другими реализациями. Хотя эта проблема отчасти устраняется возможностью быстро развернуть сервер виртуальной частной сети из стандартной конфигурации, наличием таких решений как OpenVPN Remote Access Server для создания VPN «из коробки», и возможностью сервера передавать существенную часть параметров подключения клиентам без их указания в клиентской конфигурации вручную.
Так или иначе, реализация OpenVPN видится нам самым сбалансированным решением, хотя с точки зрения безопасности она, возможно, может конкурировать с IPsec/L2TP.
Для внедрения VPN в свою инфраструктуру вы можете использовать услуги многочисленных VPN-провайдеров. Но, во-первых, такое решение обычно обходится недешево, особенно при необходимости подключения к сети большого количества клиентов. Во-вторых, при таком подходе вы доверяете выбранному провайдеру свои корпоративные или личные данные, ведь большая часть трафика (по крайней мере, открытого) для него прозрачна.
Более надежным и гибким сценарием является самостоятельная настройка VPN на физическом или виртуальном сервере (VPS/VDS) . Например, вы можете создать виртуальную частную сеть OpenVPN по одной из наших пошаговых инструкций (Windows, Linux), используя облачный VPS/VDS сервер от 1cloud. Для этой задачи будет достаточно минимальной аппаратной конфигурации сервера, а стоимость оборудования в месяц ниже, чем средняя по рынку цена готовых услуг по предоставлению VPN для нескольких устройств. К тому же, собственное решение в любой момент масштабируется под текущую нагрузку на виртуальную частную сеть.
В качестве заключающего комментария отметим, 1cloud.ru предлагает к использованию готовую реализацию виртуальных сетей (VLAN) для арендуемых у нас серверов. Сеть между машинами создается прямо в панели управления или через API в несколько шагов, что исключает необходимость вникать в конфигурацию VPN, если ваша задача – просто сгруппировать несколько серверов в VLAN и, возможно, отключить доступ извне к некоторым из них. Скорость наших частных сетей – 1Гбит/с, а их использование бесплатно.
P. S. Другие инструкции:
Спасибо за Вашу оценку!
К сожалению, проголосовать не получилось. Попробуйте позже
Объяснение протокола VPN
— PPTP против L2TP против SSTP против IKEYv2 против OpenVPN
Когда вы устанавливаете приложение VPN на свой компьютер или смартфон, вам просто нужно открыть его, выбрать страну и включить. Виола, теперь вы подключены к VPN-серверу. Никаких сложных настроек менять не нужно.
Чтение: бесплатный VPN для разблокировки географических ограничений Netflix
По умолчанию большинство провайдеров VPN автоматически используют протокол, наиболее подходящий для вашей сети. Но что, если вы хотите большего контроля с помощью своей VPN ?,
Что ж, хорошая новость заключается в том, что большинство провайдеров VPN позволяют настроить приложение для использования одного из других протоколов, будь то PPTP, L2TP, SSTP, IKEv2 или OpenVPN.Итак, давайте выясним, каковы плюсы и минусы каждого протокола VPN и когда что использовать.
PPTP против L2TP против SSTP против IKEYv2 против OpenVPN
1. PPTP
PPTP, сокращение от Point-to-Point Tunneling Protocol, был разработан Microsoft для создания VPN через коммутируемые сети. Долгое время PPTP был стандартным протоколом для корпоративных сетей VPN.
Платформа — PPTP легко настроить с помощью встроенных в ОС функций VPN. Их клиенты встроены во многие платформы, включая Windows, macOS, Android, iOS и даже в некоторые маршрутизаторы.Таким образом, вам не нужно устанавливать дополнительное программное обеспечение для настройки PPTP.
Шифрование — Впрочем, оно того не стоит. Протокол старый и уязвимый. Это небезопасный протокол VPN, и его могут легко расшифровать злонамеренные третьи стороны в атаках типа «человек посередине».
Межсетевой экран — PPTP требует наличия TCP-порта 1723, что позволяет легко блокировать PPTP-соединения.
Итог : Избегайте. Используйте только в случае крайней необходимости для совместимости.
2. L2TP
L2TP или протокол туннелирования уровня 2 — лучшая версия PPTP.
Платформа — Его так же легко и быстро настроить, как и PPTP, поскольку он встроен практически во все современные операционные системы.
Шифрование — L2TP сам по себе не обеспечивает никакого шифрования, поэтому в основном он инкапсулирует трафик L2TP в туннель IPsec для защиты трафика L2TP. Что, в отличие от PPTP, обычно считается безопасным.
Межсетевой экран — Проблема с L2TP связана с межсетевым экраном.Он использует UDP-порт 500 — это означает, что его намного проще заблокировать и сложнее обойти брандмауэры.
Bottom Line — L2TP / IPsec теоретически безопасен и прост в настройке. Есть некоторые опасения, что АНБ могло ослабить стандарт IPsec, но ничего не подтверждено. Кроме того, у него проблемы с обходом межсетевых экранов. В целом, я бы не сказал, что это лучший протокол, но если вам нужно выбирать между PPTP и L2TP, определенно используйте его вместо PPTP.
3. SSTP
SSTP, также известный как Secure Socket Tunneling Protocol, является проприетарным стандартом, принадлежащим Microsoft.
Платформа — Хотя сейчас она доступна для Linux и даже Mac OS X, она по-прежнему в основном предназначена только для Windows.
Шифрование — В отличие от PPTP и L2TP, SSTP использует SSL 3.0, что означает высокий уровень безопасности. Однако, поскольку это проприетарный протокол, это означает, что код не открыт для публики и не может быть полностью проверен.
Межсетевой экран — Включает возможность использования порта TCP 443, который используется для обычного трафика HTTPS.Таким образом затрудняется блокировка. Поскольку нет никакого способа отличить VPN-соединения, кроме типа защищенных соединений, используемых веб-браузером, почтовыми службами и интернет-магазинами. межсетевые экраны
Итог — SSTP — это проприетарный протокол Microsoft, который лучше всего поддерживается в Windows. В целом, если вам нужно выбирать между PPTP, L2TP и SSTP для компьютера с Windows. лучше использовать, чем SSTP. Шифрование лучше и может обойти брандмауэр.
4. IKEv2
Internet Key Exchange версии 2 (или IKEv2) — это относительно новый протокол VPN, разработанный Microsoft и Cisco.
Платформа — Возможно, вы мало слышали об этом протоколе, поскольку он изначально поддерживается устройствами Windows 7 и выше, Blackberry и iOS.
Шифрование — Как и L2TP, IKEv2 также сопряжен с пакетом аутентификации, таким как IPSec, для получения функции шифрования. Итак, если ваш провайдер говорит IKEv2, это, скорее всего, означает IKEv2 / IPsec.
Итог — IKEv2 не так распространен, как другие протоколы в этом списке, так как он поддерживается на меньшем количестве платформ, в основном Windows и iOS.Тем не менее, мобильные пользователи могут по-прежнему считать это полезным для автоматического восстановления VPN-соединения, когда пользователи временно теряют свои интернет-соединения. Например, переключение между домашним WiFi и мобильным подключением или регулярное переключение между точками доступа.
5. OpenVPN
OpenVPN — это технология с открытым исходным кодом, использующая библиотеку OpenSSL,
Платформа — В отличие от PPTP и L2TP, которые изначально поддерживаются большинством платформ; чтобы получить OpenVPN, вам придется использовать стороннее программное обеспечение.Но у большинства провайдеров VPN есть собственное руководство по настройке OpenVPN, поэтому его настройка не должна быть проблемой. Мы также сделали видео о том, как настроить OpenVPN.
Шифрование — На данный момент OpenVPN считается самым надежным шифрованием, поскольку он поддерживает AES и является очень безопасным. Кроме того, поскольку это открытый исходный код, всегда можно проверить исходный код и увидеть, что происходит внутри. Таким образом, OpenVPN лучше всего подходит для обеспечения безопасности.
Межсетевой экран — OpenVPN также может работать на TCP-порту 443, что означает, что он может обходить большинство межсетевых экранов.
Итог — По сравнению со всеми другими протоколами VPN, OpenVPN, возможно, является наиболее безопасным и универсальным из доступных протоколов VPN. Он работает на всех платформах, обходится без межсетевого экрана и отличается высокой надежностью. Единственная проблема в том, что вам нужно знать, как его настроить, для чего вы можете посмотреть другое наше видео.
Подведение итогов: какой протокол VPN использовать?
Короче говоря, не используйте PPTP, он устарел и небезопасен, если только вы не являетесь миллениалом.
L2TP довольно прост в реализации и имеет довольно хорошее шифрование с IPsec (теоретически), но не может обойти брандмауэры.Так что я бы тоже не рекомендовал это. Но это определенно лучше, чем PPTP
SSTP намного безопаснее L2TP, но имеет обратную сторону: в основном он работает для Windows.
Итак, лучший выбор — OpenVPN. Это безопасно, надежно и работает на любой платформе.
.
протоколов VPN, и какой из них лучше всего использовать
Проще говоря, VPN работает с использованием туннелей, которые обеспечивают анонимность и безопасность при использовании Интернета за счет шифрования данных, которые ваш компьютер отправляет на сервер VPN на другом конце.
Однако, как мы знаем из старого протокола WEP для шифрования Wi-Fi, устаревшие протоколы могут быть скомпрометированы и могут не обеспечивать достаточной безопасности данных.
Таким образом, пользователи должны знать о различных протоколах VPN, чтобы быть уверенными в том, что их провайдер поддерживает более новые, более безопасные протоколы, избегая при этом более старых, менее безопасных протоколов.
Эти протоколы VPN, включая PPTP, L2TP и SSTP, основаны на механике исходного протокола Point-to-Point Protocol (PPP). PPP инкапсулирует IP-пакеты данных, а затем передает их серверу на другом конце. PPP — это более старый протокол, созданный для установления VPN-туннеля между коммутируемым клиентом для подключения к серверу доступа к сети.
Итак, какие протоколы VPN являются лучшими, а каких лучше избегать — и почему? Читай дальше что бы узнать.
PPTP
Протокол туннелирования точка-точка (PPTP) — это более старый метод шифрования VPN, разработанный Microsoft, который восходит к Windows 95.Он по-прежнему популярен сегодня, несмотря на известную уязвимость инструмента атаки по словарю ASLEAP, датируемого 2004 годом, что в значительной степени сделало его устаревшим (или должно было быть).
Так почему он до сих пор популярен? Это главным образом потому, что PPTP интегрирован в Windows, а также в Linux и macOS. PPTP включает зашифрованный туннель между ПК и сервером VPN с использованием порта TCP 1723 и общей инкапсуляции маршрутизации (GRE). Несмотря на преимущества простой настройки и высокой скорости, этот протокол испорчен серьезными проблемами безопасности, возникшими еще в 1998 году.Короче говоря, современным пользователям лучше избегать PPTP.
L2TP / IPSec
L2TP — это протокол туннелирования второго уровня, расширение PPTP, которое объединяет последний с L2F (протокол пересылки уровня 2), который был разработан Cisco. L2TP не имеет встроенного шифрования, поэтому он добавляется через IPSec (безопасность интернет-протокола).
В отличие от PPTP, который использует 128-битный ключ, L2TP / IPSec имеет 256-битный ключ, и это считается достаточно сложным для сверхсекретной связи. L2TP — более новый протокол, который поддерживается в Windows начиная с XP, а также в macOS 10.3 или лучше, и мобильные операционные системы.
L2TP требует больше накладных расходов для более сложного 256-битного шифрования и двойной инкапсуляции. Также может быть сложнее установить и настроить. Обычно это считается безопасным, хотя недавние утечки NSA предполагают, что L2TP уязвим для атак, когда шифрование использует предварительно общие ключи.
SSTP
Протокол безопасного туннелирования сокетов (SSTP) напрямую принадлежит и контролируется Microsoft. Это объясняет его другое название — Microsoft Secure Socket Tunneling Protocol (MS-SSTP) — поэтому неудивительно, что он доступен только в Windows.
Имя получено из трафика, маршрутизируемого по протоколу Secure Sockets Layer (SSL), который использует TCP-порт 443 и заставляет его проходить через брандмауэры и прокси-серверы, поэтому вероятность его блокировки гораздо ниже. Поскольку это не открытый исходный код, SSTP является одним из самых безопасных из этих протоколов VPN.
SSTP более современный, чем описанные выше протоколы, и доступен в Windows Vista SP1 и более поздних версиях. SSTP был разработан для удаленного клиентского доступа и обычно не поддерживает VPN-туннели типа «сеть-сеть».
Хорошие службы VPN, такие как IPVanish, перечисляют свои поддерживаемые службы и протоколы (Изображение предоставлено IPVanish)
OpenVPN TCP
OpenVPN — это популярный протокол безопасности, созданный Джеймсом Йонаном. В отличие от предыдущих проприетарных протоколов VPN, OpenVPN имеет открытый исходный код и публикуется под Стандартной общественной лицензией GNU. Это дает сообществу доступ к исходному коду, так что любые недостатки безопасности выявляются и устраняются, вместо того, чтобы допускать существование потенциальных недостатков и бэкдоров в коде.
SSL / TLS используется для обмена предварительными общими ключами, повышая безопасность. Шифрование, используемое для OpenVPN, также является открытым исходным кодом, поскольку использует OpenSSL, который поддерживает до 256-битного шифрования.
OpenVPN поставляется в двух основных вариантах: OpenVPN TCP и OpenVPN UDP. Не все поставщики VPN предоставляют вам выбор между этими двумя протоколами OpenVPN, но некоторые, безусловно, делают это — хотя они могут дать небольшое руководство о том, что между ними отличается и что вам следует выбрать. Здесь мы объясняем вариант TCP, а в следующем разделе — UDP.
OpenVPN TCP основан на TCP (что неудивительно), протоколе управления передачей, который в сочетании с Интернет-протоколом (IP) создает набор правил для обмена данными между компьютерами. TCP — это протокол, ориентированный на соединение, и он создает и поддерживает это соединение, пока приложения выполняют обмен своими данными.
TCP — наиболее часто используемый протокол подключения в Интернете. Одним из его преимуществ является то, что это «протокол с отслеживанием состояния», поскольку он имеет встроенную коррекцию ошибок.Это означает, что с каждым передаваемым пакетом данных требуется подтверждение прибытия пакета до того, как будет отправлен следующий, и если подтверждение не получено, текущий пакет будет отправлен повторно.
Вся эта встроенная избыточность означает, что OpenVPN TCP считается высоконадежным протоколом, в котором доставляются все данные. Обратной стороной этого является то, что все отправления, подтверждения и повторные отправки требуют большего количества накладных расходов, что снижает скорость сети. OpenVPN TCP — идеальный протокол для повышения безопасности, когда задержка не является приоритетом, например при обычном веб-серфинге и электронной почте.
OpenVPN UDP
Протокол, альтернативный OpenVPN TCP, — OpenVPN UDP. UDP — это протокол пользовательских дейтаграмм, который представляет собой еще один протокол связи для передачи данных между клиентом и Интернетом.
В отличие от OpenVPN TCP, который предназначен для максимальной надежности передачи данных, OpenVPN UDP нацелен на передачу данных с малой задержкой, без акцента на гарантированной доставке данных (поэтому в жертву приносится надежность).
UDP просто передает пакеты данных без всякой избыточности и проверок, поэтому у него меньше накладных расходов и, следовательно, меньшая задержка.Эти характеристики делают OpenVPN UDP хорошо подходящим для задач потоковой передачи аудио и видео, а также игр.
Лучшие службы VPN поддерживают OpenVPN TCP и UDP и позволяют пользователю выбирать между ними по мере необходимости в зависимости от приложения.
WireGuard
WireGuard — это новый протокол VPN с открытым исходным кодом, который проще в настройке, чем OpenVPN, он имеет гораздо меньшую и более простую кодовую базу и предлагает все виды технических преимуществ: современные стандарты шифрования, более быстрое соединение , большая надежность и более высокие скорости.
Провайдеры VPN проявили интерес, но с некоторыми оговорками. В 2019 году ExpressVPN заявила, что работа над WireGuard все еще находится в стадии разработки, и хотя NordVPN тестирует WireGuard, мы все еще ждем поддержки со стороны официальных приложений.
Тем не менее, некоторые VPN решили добавить WireGuard в свою линейку. Mullvad был одним из первых пользователей, VPC.ac и TorGuard также предлагали некоторую поддержку — и мы ожидаем, что другие присоединятся к группе очень скоро.
Сравните четыре лучших на сегодняшний день в целом VPN
Все — лучший VPN №1
Баланс опций и простота использования
Торрент-трафик и P2P-трафик
DownloadDisc
DownloadDisc
DownloadDisc
DownloadDisc
.
PPTPПлатина и бриллиант |
L2TP / IPsecТолько алмаз |
OpenVPN ™Только алмаз |
Хамелеон ™Только алмаз | |
Шифрование VPN | 128 бит | 256 бит | 256 бит | |
Поддерживаемые приложения VyprVPN | ||||
Ручная настройка поддерживается |
|
|
| |
Безопасность VPN | Базовое шифрование | Высшее шифрование.Проверяет целостность данных и дважды инкапсулирует данные. | Высшее шифрование. Проверяет данные с помощью цифровых сертификатов. | Высшее шифрование. Проверяет подлинность данных с помощью цифровых сертификатов. |
Скорость VPN | Быстро из-за низкого уровня шифрования. | Требуется больше ресурсов ЦП для двойной инкапсуляции данных. | Самый эффективный протокол. Высокая скорость даже при соединениях с большой задержкой и на больших расстояниях. | Самый эффективный протокол. Избегает глубокого анализа пакетов. Высокая скорость даже при соединениях с большой задержкой и на больших расстояниях. |
Стабильность | Хорошо работает в большинстве точек доступа Wi-Fi, очень стабильно. | Стабильно на устройствах с поддержкой NAT. | Самый надежный и стабильный, даже за беспроводными маршрутизаторами, в ненадежных сетях и в точках доступа Wi-Fi. | Маскирует трафик VPN, чтобы его нельзя было идентифицировать как соединение VPN (посредством глубокой проверки пакетов) и заблокировать. |
Совместимость | Собственно в большинстве операционных систем настольных компьютеров, мобильных устройств и планшетов. | Встроенный в большинстве операционных систем настольных компьютеров, мобильных устройств и планшетов. | Поддерживается большинством операционных систем настольных компьютеров, а также мобильными устройствами и планшетами Android. | Поддерживается большинством операционных систем настольных компьютеров, а также мобильными устройствами и планшетами Android. |
Заключение | PPTP — это быстрый и простой в использовании протокол.Это хороший выбор, если ваше устройство не поддерживает OpenVPN. | L2TP / IPsec — хороший выбор, если OpenVPN не поддерживается вашим устройством и безопасность является главным приоритетом. | OpenVPN — рекомендуемый протокол для настольных компьютеров, включая Windows, Mac OS X и Linux. Высочайшая производительность — быстро, безопасно и надежно. | Chameleon отлично подходит для пользователей VPN, заблокированных в таких странах, как Китай, или если у вас возникли проблемы со скоростью из-за ограничения полосы пропускания. |
.
PPTP против L2TP против OpenVPN: какой использовать? — База знаний
Каждый протокол VPN имеет свои преимущества и недостатки. В этой статье рассматриваются наиболее важные функции каждого типа VPN-подключения, которые мы поддерживаем, чтобы помочь вам решить, какой из них лучше всего подходит для вас.
Краткое описание:
TL; DR
используйте OpenVPN ECC с нашим программным обеспечением для обеспечения максимальной скорости и безопасности. Если вы подключаетесь из сети с ограничением брандмауэра, попробуйте OpenVPN XOR с портом TCP-443. Избегайте PPTP и даже L2TP / IPsec.256-битный AES OpenVPN — это своего рода излишество, скорее используйте 128-битный AES. Мы не ожидаем, что кто-то пойдет на взлом AES, пока в цепочке есть более слабые звенья, такие как ключи RSA: как они генерируются (хорошая или плохая энтропия, генерация онлайн / офлайн, хранение ключей на серверах и т. Д.). Следовательно, AES-128 — очень хороший выбор по сравнению с AES-256, который в основном используется для маркетинговых заявлений («больше — лучше»).
Оценок:
PPTP: очень низкая безопасность, высокая скорость
L2TP / IPsec: средняя безопасность, максимальная скорость
OpenVPN (128-битный BF): средний уровень безопасности, высокая скорость
OpenVPN (256-битный AES): высочайшая безопасность, хорошая скорость
OpenVPN (128-битный AES, ECC): высокая безопасность, быстрая скорость
PPTP небезопасен, но по умолчанию работает в большинстве операционных систем / устройств, используя встроенные в ОС функции VPN.В нашей реализации он выполняется очень быстро, но, поскольку он не так безопасен, как другие протоколы, мы рекомендуем использовать его только для не слишком чувствительных действий (т.е. только для разблокировки контента с географическим ограничением).
L2TP / IPsec достаточно безопасен и, возможно, самый быстрый в нашей реализации. Это не так надежно, как OpenVPN, в сетях, где возникают проблемы, приводящие к обрывам соединения. Сам протокол очень сложен с технической точки зрения, и его реализации (распространенные у большинства провайдеров VPN) не так безопасны, как должны быть, особенно из-за того, что вместо сертификатов используются предварительно общие ключи.Поэтому с точки зрения безопасности мы оцениваем его где-то посередине между PPTP и OpenVPN: в целом хорошо для безопасности, если ни одна из конечных точек (клиент или сервер) не является целью высококвалифицированных злоумышленников.
OpenVPN — самый безопасный и надежный (даже в медленных / нестабильных сетях). OpenVPN UDP обычно быстрее, чем OpenVPN TCP. OpenVPN также сложнее заблокировать интернет-провайдерами, поскольку он также работает на стандартных портах, таких как 443, 993, 995. Однако простого запуска через общие порты недостаточно, так как любой приличный DPI сразу бы его идентифицировал.
Уровень шифрования
PPTP : 128-битный MPPE (имейте в виду, что сам протокол нарушен, поэтому шифрование само по себе бесполезно)
L2TP / IPSec : 256-битный AES и RSA-2048 (с включенным шифрованием максимальной прочности при ручной настройке или с помощью нашего программного обеспечения)
OpenVPN 128-битный BF : 128-битный BF-CBC для канала данных, RSA 2048 для ключей и SHA1 HMAC (предпочтительно для использования только на устройствах, которые в настоящее время не поддерживают AES / пользовательские настройки OpenVPN, например.г. Synology NAS)
OpenVPN 128-битный AES : 128-битный AES-GCM / AES-CBC для канала данных, RSA 4096 для ключей и SHA256 HMAC
OpenVPN 256-бит : 256-битный AES-GCM / AES- CBC для канала данных, RSA 4096 для ключей и SHA512 HMAC
OpenVPN ECC : 128-битный AES-GCM / AES-CBC для канала данных, эллиптическая кривая с использованием кривой secp256k1 для ключей и SHA512 HMAC
OpenVPN XOR : 128-битный AES-GCM / AES-CBC для канала данных, RSA 4096 для ключей и SHA512 HMAC
OpenVPN использует AES-GCM вместо AES-CBC, если это поддерживается клиентом.Он поддерживается нашим клиентским программным обеспечением и используется по умолчанию, однако со старыми версиями клиента OpenVPN он может не поддерживать его и использовать AES-CBC вместо AES-GCM.
OpenVPN XOR похож на 256-битный OpenVPN с точки зрения силы ключа и HMAC, поскольку используется тот же самый, отличается только симметричный шифр: 128-битный AES быстрее и менее интенсивен для процессора, чем 256-битный AES. Мы рекомендуем использовать его только тогда, когда другие типы OpenVPN не работают, например, в сетях, которые блокируют другие соединения, кроме исходящих через порты 80 и 443.Запуск OpenVPN XOR через порт TCP-443 должен обойти большинство брандмауэров / механизмов веб-фильтрации.
PPTP
Преимущества
— это наиболее широко используемый протокол VPN, доступный по умолчанию в большинстве современных операционных систем и устройств (маршрутизаторы, смартфоны, планшеты).
— Это очень быстро в нашей реализации, легко достигая 70 Мбит / с при широкополосных соединениях 100 Мбит / с.
Недостатки
— это небезопасный протокол VPN, и его могут легко расшифровать злонамеренные третьи стороны в атаках типа «человек посередине».Однако атаки на PPTP непросты даже для опытных экспертов по безопасности — поэтому мы считаем, что это хороший протокол для передачи неконфиденциальных данных или для добавления уровня безопасности к вашему общению в открытых сетях, например рестораны.
— Требуется прохождение NAT и маршрутизатор, чтобы разрешить сквозной пропуск GRE / VPN, если вы хотите подключиться из внутренней сети, такой как домашняя сеть, к внешнему серверу VPN в Интернете. Эти требования приводят к проблемам с подключением в следующих случаях: 1.маршрутизатор не поддерживает сквозную передачу GRE / VPN или он неправильно реализован и 2. когда более 1 устройства / ПК в одной сети подключаются к внешнему серверу VPN одновременно.
L2TP / IPsec
Преимущества
По популярности он занимает второе место после PPTP, что делает его доступным для большинства современных операционных систем и устройств. Он более «дружелюбен к NAT», чем PPTP, и должен проходить через большинство современных маршрутизаторов, даже если вы одновременно подключаете более 1 ПК / устройства из одной локальной сети.
L2TP / IPsec использует протокол UDP и выигрывает от ускорения на основе ядра, по крайней мере, на стороне клиента (Windows), но также и на стороне сервера (в нашей реализации). В зависимости от конфигурации сервера L2TP / IPsec, L2TP / IPsec может работать почти так же быстро, как обычное незашифрованное соединение с сервером. С точки зрения скорости — он может обеспечить максимальную скорость широкополосного доступа в 100 Мбит / с или в большинстве случаев приблизиться к нему. Нам удалось добиться гораздо большей скорости между гигабитными серверами.
Он более безопасен, чем PPTP, но не так безопасен, как OpenVPN; это «сложно» с технической точки зрения, и многие вещи могут пойти не так, как надо, особенно в настройках Road-Warrior.Хотя мы считаем, что атаки против PPTP очень сложны в реальных сценариях для «среднего» злоумышленника, они могут быть совершенно бесполезны против IPsec, но если противник высококвалифицирован и имеет практически неограниченные ресурсы (например, NSA), вам лучше не Не используйте IPsec на всякий случай.
Недостатки
Его немного сложнее настроить, его легко заблокируют интернет-провайдеры.
OpenVPN
Преимущества
Работает как по протоколам TCP, так и по UDP.Соединения UDP обычно быстрее, чем TCP. Он не требует явного прохождения NAT / сквозной передачи VPN на домашних маршрутизаторах и может легко подключаться практически из любого места, если порты не заблокированы. OpenVPN может работать на любых портах.
Это, вероятно, самый безопасный протокол VPN на сегодняшний день, он полагается на OpenSSL или PolarSSL / mbed TLS для фактического шифрования.
Недостатки
Настроить немного сложнее. Для подключения требуется программный клиент, поскольку он по умолчанию не поддерживается в большинстве операционных систем.Он также нуждается в поддержке драйверов и может не работать на некоторых ПК из-за ограничений на установку программного обеспечения / драйверов. Есть несколько клиентов OpenVPN на выбор. Ознакомьтесь с нашим разделом «Учебники», чтобы начать их использовать. Даже если его немного сложнее настроить, чем традиционный PPTP или L2TP / IPsec, мы рекомендуем использовать OpenVPN, если надежность и безопасность являются вашими основными заботами. Для достижения наилучших скоростей вполне вероятно, что L2TP / IPSec будет быстрее, если у вас очень быстрое широкополосное соединение (более 100 Мбит / с), но это зависит от многих факторов.
Не так быстро, как L2TP / IPsec и даже в некоторых случаях PPTP. Это может быть медленным в Windows, если вы запускаете его на виртуальной машине под VirtualBox, но очень быстро в Linux (даже в среде виртуальной машины).
Наша рекомендация для наилучшего сочетания безопасности и скорости — использовать OpenVPN ECC, а затем OpenVPN AES 128-бит.
.