Як працює VPN-з'єднання?

Поняття приватних віртуальних мереж, скорочено позначаються як VPN (від англійського Virtual Private Network), з'явилося в комп'ютерних технологіях відносно недавно. Створення підключення такого типу дозволило об'єднувати комп'ютерні термінали та мобільні пристрої у віртуальні мережі без звичних проводів, причому незалежно від місця дислокації конкретного терміналу. Зараз розглянемо питання про те, як працює VPN-з'єднання, а заодно наведемо деякі рекомендації по налаштуванню таких мереж і супутніх клієнтських програм.

Що таке VPN?

Як вже зрозуміло, VPN являє собою віртуальну приватну мережу з кількома підключеними до неї пристроями. Спокушатися не варто – підключити десятка два-три одночасно працюючих комп'ютерних терміналів (як це можна зробити в «локалці») зазвичай не виходить. На це є свої обмеження в налаштуванні мережі або навіть просто в пропускної здатності маршрутизатора, що відповідає за присвоєння IP-адрес і передачу даних. Втім, ідея, спочатку закладена в технології з'єднання, не нова. Її намагалися обґрунтувати досить давно. І багато сучасні користувачі комп'ютерних мереж собі навіть не уявляють того, що вони про це знали все життя, але просто не намагалися вникнути в суть питання.

Як працює VPN-з'єднання: основні принципи і технології

Для кращого розуміння наведемо найпростіший приклад, який відомий будь-якій сучасній людині. Взяти хоча б радіо. Адже, по суті, воно являє собою передавальний пристрій (транслятор), посередницький агрегат (ретранслятор), що відповідає за передачу і розподіл сигналу, і пристрій (приймач).


Інша справа, що сигнал транслюється абсолютно всім споживачам, а віртуальна мережа працює вибірково, об'єднуючи в одну мережу тільки певні пристрої. Зауважте, ні в першому, ні в другому випадку дроти для підключення передавальних і приймаючих пристроїв, які здійснюють обмін даними між собою, не потрібні. Але і тут є свої тонкощі. Справа в тому, що спочатку радіосигнал був незахищеним, тобто його може взяти будь-який радіоаматор з працюючим приладом на відповідній частоті. Як працює VPN? Так точно так само. Тільки в даному випадку відіграє роль ретранслятора маршрутизатор (роутер або ADSL-модем), а роль приймача – стаціонарний комп'ютерний термінал, ноутбук або мобільний пристрій, що має в своєму оснащенні спеціальний модуль бездротового підключення (Wi-Fi). При всьому цьому дані, що виходять із джерела, спочатку шифруються, а тільки потім за допомогою спеціального дешифратора відтворюються на конкретному пристрої. Такий принцип зв'язку через VPN називається тунельним. І цим принципом найбільшою мірою відповідає мобільний зв'язок, коли відбувається перенаправлення на конкретного абонента.

Тунелювання локальних віртуальних мереж

Розберемося в тому, як працює VPN в режимі тунелювання. По суті своїй, воно передбачає створення якоїсь прямої, скажімо, від точки A до точки «B», коли при передачі даних з центрального джерела (роутера з підключенням сервера) визначення всіх мережевих пристроїв проводиться автоматично за заздалегідь заданої конфігурації.
Іншими словами, створюється тунель з кодуванням при надсиланні даних і декодуванням при прийомі. Виходить, що ніякий інший юзер, який спробував перехопити дані такого типу в процесі передачі, розшифрувати їх не зможе.

Засоби реалізації

Одними з найпотужніших інструментів такого роду зв'язків і заодно забезпечення безпеки є системи компанії Cisco. Правда, у деяких недосвідчених адмінів виникає питання про те, чому не працює VPN-Cisco-обладнання. Пов'язано це в першу чергу тільки з неправильною налаштуванням і встановлюваними драйверами маршрутизаторів типу D-Link або ZyXEL, які вимагають тонкої настройки тільки з причини того, що оснащуються вбудованими брендмауерамі. Крім того, слід звернути увагу і на схеми підключення. Їх може бути дві: route to route або remote access. В першому випадку мова йде про об'єднання декількох розподільчих пристроїв, а в другому – про управління підключенням або передачею даних за допомогою віддаленого доступу.

Протоколи доступу

Що стосується протоколів, сьогодні в основному використовуються засоби конфігурації на рівні PCP/IP, хоча внутрішні протоколи VPN можуть розрізнятися. Перестав працювати VPN? Слід подивитися на деякі приховані параметри. Так, наприклад, засновані на технології TCP додаткові протоколи PPP і PPTP все одно ставляться до стекам протоколів TCP/IP, але для з'єднання, скажімо, у випадку використання PPTP необхідно використовувати дві IP-адреси замість покладеного одного. Однак у будь-якому випадку тунелювання передбачає передачу даних, укладених у внутрішніх протоколах типу IPX або NetBEUI, і всі вони забезпечуються спеціальними заголовками на основі PPP для безперешкодної передачі даних відповідного мережного драйвера. Для TCP/IP взагалі рекомендується вибирати автоматичне отримання основного адреси та предпочитаемого DNS-сервера. При цьому задіяння проксі повинно бути відключене (і не тільки для локальних адрес.

Апаратні пристрої

Тепер подивимося на ситуацію, коли виникає питання про те, чому не працює VPN. Те, що проблема може бути пов'язана з некоректною налаштуванням обладнання, зрозуміло. Але може виявитися й інша ситуація. Варто звернути увагу на самі маршрутизатори, які здійснюють контроль підключення. Як вже говорилося вище, слід використовувати тільки пристрої, які підходять за параметрами підключення. Наприклад, маршрутизатори начебто DI-808HV або DI-804HV здатні забезпечити підключення до сорока пристроїв одночасно. Що стосується обладнання ZyXEL, у багатьох випадках воно може працювати навіть через вбудовану мережеву операційну систему ZyNOS, але тільки з використанням режиму командного рядка через протокол Telnet. Такий підхід дозволяє конфігурувати будь-які пристрої з передачею даних на три мережі в загальній середовищі Ethernet з передачею IP-трафіку, а також використовувати унікальну технологію Any-IP, призначену для задіяння стандартної таблиці маршрутизаторів з перенаправляемым трафіком в якості шлюзу для систем, які спочатку були налаштовані для роботи в інших підмереж.

Що робити, якщо не працює VPN (Windows 10 і нижче)?

Найперше і головне умова – відповідність вихідних і вхідних ключів (Pre-shared Keys). Вони повинні бути однаковими на обох кінцях тунелю. Тут же варто звернути увагу і на алгоритми криптографічного шифрування (IKE або Manual) з наявністю функції аутентифікації або без неї. Приміром, той же протокол AH (в англійському варіанті - Authentication Header) може забезпечити лише авторизацію без можливості застосування шифрування.

VPN-клієнти та їх налаштування

Що стосується VPN-клієнтів, то й тут не все просто. Більшість програм, заснованих на таких технологіях, використовують стандартні методи налаштування. Однак тут є свої підводні камені. Проблема полягає в тому, що як не встановлюй клієнт, при вимкненому службі в самій «операційки» нічого путнього з цього не вийде. Саме тому сначла потрібно задіяти ці параметри Windows, потім включити їх на маршрутизатор (роутер), а тільки після приступати до налаштування самого клієнта. У самій системі доведеться створити нове підключення, а не використовувати вже наявне. На цьому зупинятися не будемо, оскільки процедура стандартна, але от на самому роутері доведеться зайти в додаткові параметри (найчастіше вони розташовані в меню WLAN Connection Type) і активувати все те, що пов'язано з VPN-сервером. Варто відзначити ще й той факт, що сам віртуальний сервер доведеться встановлювати в систему в якості супутньої програми. Зате потім його можна буде використовувати навіть без ручного налаштування, просто вибравши найближчу дислокацію. Одним з найбільш затребуваних і найбільш простих у використанні можна назвати VPN клієнт-сервер під назвою SecurityKISS. Встановлюється програма " без сучка і задирочки, зате потім навіть в налаштування заходити не треба, щоб забезпечити нормальну зв'язок для всіх пристроїв, підключених до роздає. Трапляється, що досить відомий і популярний пакет Kerio VPN Client не працює. Тут доведеться звернути увагу не тільки на налаштування маршрутизатора або самої «операційки», але і на параметри клієнтської програми. Як правило, введення вірних параметрів дозволяє позбутися проблеми. У крайньому разі доведеться перевірити налаштування основного підключення і використовуваних протоколів TCP/IP (ipv4/v6).

Що в підсумку?

Ми розглянули, як працює VPN. В принципі, нічого складного в самому підключенні чи створенні мереж такого типу немає. Основні труднощі полягають у налаштуванні специфічного обладнання та встановлення його параметрів, які, на жаль, багато користувачів упускають з виду, покладаючись на те, що весь процес буде зведено до автоматизму. З іншого боку, ми зараз більше займалися питаннями, пов'язаними з технікою роботи самих віртуальних мереж VPN, так що налаштовувати обладнання, встановлювати драйвери пристроїв і т. д. доведеться з допомогою окремих інструкцій та рекомендацій.