Vpn схема: Diamond VPN/FW Client •

Содержание

Diamond VPN/FW Client •

Обзор Diamond VPN/FW Client

Программное обеспечение Клиент Diamond VPN/FW предназначено для организации защищенного соединения между автоматизированным рабочем местом и многофункциональным комплексом сетевой защиты Diamond VPN/FW. Возможность обмена сетевым трафиком через защищенное соединение позволяет предоставить доступ в корпоративную сеть удаленным сотрудникам. При установке защищенного соединения сетевой трафик зашифровывается в соответствии с ГОСТ Р 34.11-2012, ГОСТ 28147-89, ГОСТ Р 34.13-2015, ГОСТ Р 34.12-2015. СКЗИ Dcrypt 1.0 v.2 в составе программного обеспечения Клиент Diamond VPN/FW сертифицировано по классу защиты КС1, КС2 и КС3.

­Благодаря использованию современных технологий дополнительная защита канала передачи данных никак не сказывается на производительности, пользователи все также получают быстрый доступ к нужным ресурсами, с минимальными вносимыми задержками. Дополнительная возможность по регулированию временных параметров защищенного соединения позволяет устанавливать крипто-туннель даже через физический канала передачи данных с плохими вносимыми задержками, например, через спутниковые каналы или модемную связь.

­

­Простота в развертывании клиентской части, большом количестве поддерживаемых операционных систем и архитектур позволяет в кратчайшие сроки решать практически любые задачи по организации удаленного доступа для сотрудников и клиентов. Дополнительные механизмы сетевой защиты на центральном шлюзе подключения позволяет не только применять политики межсетевого экранирования к сетевому трафику удаленных клиентов, но и проводить анализ сетевого трафика на предмет сетевых атак, угроз и другого подозрительного поведения. Простой и понятный интерфейс позволяет тратить на настройку программного обеспечения не более пары минут.

­ Полное описание

Дополнительная защита

Межсетевое экранирование сетевого трафика удаленных клиентов и анализ трафика на предмет атак и угроз

Простая установка

Клиент поддерживает большое количество операционных систем и архитектур

Высокая производительность

Дополнительные механизмы сетевой защиты никак не влияют на производительность системы

Типовая схема применения

Подключение удаленных сотрудников

Видео по продукту

Пресс-центр

03.02.2020

VPN-маршрутизатор BM1000 получил статус ТОРП

CPE операторского класса российского разработчика телекоммуникационного оборудования компании ООО «БУЛАТ» 16 января 2020 года, согласно протоколу заседания экспертного совета, получил статус телекоммуникационного оборудования российского происхождения (ТОРП). Добавление телекоммуникационного оборудования BM1000-6С2Хсе в реестр ТОРП, подтверждает, что устройство соответствует требованиям установленным Постановлением Правительства РФ от 10.07.2019 N 878.

Модель BM1000-6С2Хсе относится к классу VPN-маршрутизаторов. Основным преимуществом данного типа оборудования является высокая производительность IPSec, высокая производительность Routing&Switching, гибкие возможности подключения — 2 интерфейса 10G SFP и 6 интерфейсов 1G combo (SFP или медь), Wi-Fi и LTE.

Устройство BM1000-6С2Хсе может использоваться в ведомственных структурах, государственных организациях и компаниях с государственным участием, предъявляющих повышенные требования к обеспечению безопасности связи.


Ключевое отличие BM1000-6С2Хсе от аналогичного оборудования, заключается в изначальном выборе интегральной цифровой микросхемы для пакетной обработки. В отличие от решений, реализованных на базе ASIC (интегральная схема, которая может быть настроена для выполнения только определенной задачи), в модели BM1000-6С2Хсе применена микросхема FPGA (Программируемая логическая интегральная схема), содержащая логические блоки, позволяющие перепрограммировать устройство без внесения изменений в аппаратную часть. При построении подобных платформ на процессорах общего назначения х86 или ARM имеется высочайшая гибкость функциональности и масштабирования, однако при изменении загрузки центрального процессора возможна деградация пропускной способности, задержки или джиттера обработки пакетов и существенное падение остальных параметров пакетной обработки. Таким образом, решение на базе FPGA сохраняют преимущества как ASIC так и CPU общего назначения для пакетной обработки, но избавлены от их недостатков. Платой за это является высокая сложность разработки и несколько более высокая стоимость решения.

По этим причинам данный подход был выбран для создания наиболее универсального решения CPE операторского класса, без изменения аппаратной платформы, практически под любые требования клиентов и проектов, при гарантированных производительности, масштабировании и функциональности.

Зная требования рынка и уникальность задач каждого клиента, компания ООО «БУЛАТ» осознано приняла решение о создании поистине уникального устройства, которое уже сегодня готово решать любые задачи для операторов связи, корпоративных сетей передачи данных и других применений.


Схема проведения ВПН-2020

 

 

Вниманию граждан и юридических лиц!

В соответствии с Указом Президента Российской Федерации от 11.05.2020 №316 «Об определении порядка продления действия мер по обеспечению санитарно-эпидемиологического благополучия населения в субъектах Российской Федерации в связи с распространением новой коронавирусной инфекции (COVID-19), руководствуясь Указом Губернатора Иркутской области от 18.06.2021 года № 167-уг «О внесении изменений в указ Губернатора Иркутской области от 12.10.2020 №279-уг»  администрация Усольского муниципального района Иркутской области информирует о временном приостановлении  в период с 21 июня 2021 года приёма граждан и юридических лиц. Администрация   рекомендует гражданам, пришедшим на личный прием обращаться в письменной форме.  

Обращения и заявления граждан и юридических лиц принимаются:
— по адресу электронной почты администрации района: [email protected]
— в сетевом издании «Официальный сайт Усольского района»  в информационно-телекоммуникационной сети «Интернет» www.usolie-raion.ru/ интернет – приемная;
— почтой России;
— через ящик обращений к мэру района, размещенный  в здании администрации района по адресу: рп. Белореченский, 100.

  COVID 19.04.22г.

С начало пандемии заболело по району 7690 человек, из них 520 детей.

Выписано 7638 человек, из них 519 детей.

В настоящее время на лечении находятся 52 человека, из них на амбулаторном лечении 48 человек, УГБ №2-4

Всего

Закончили лечение

Находятся на  лечении

Умерло

Мишелевка

650

647

3

Железнодорожник

 340

340

0

Средний

848

840

 8

Кочерекова

1

1

0

Тайтурка

 880 (+1)

870

10

Н.Мальтинск

401

401

0

Сосновка

363

363

0

Мальта

 373

373

0

Тельма

907 (+1)

899

8

Н.Жилкино

607

604

3

Ст.Ясачная

4

4

0

Белореченский

 1703 (+2)

1683

20

Б.Елань

305

305

0

Усолье-7

132

132

0

Целоты

3

3

0

Ершовка

1

1

0

СНТ Строитель

1

1

0

Озерная

4

4

0

Тальяны

88

88

0

 Раздолье

79

79

0

Итого:

7690 (+4)

7638

52

143

Всего привито по району -17471

ГамКовидВак 1к-16906   2к-15050

ЭпиВакКорона  1к- 565   2к-512

Спутник Лайт    4343

ГамКовидВак

Привили 1к

Привили 2к

Белореченский

5439

4745

Мишелевка

1429

1186

Тайтурка

3012

2858

Средний

2774

2710

Новожилкино

1840

1575

Тельма

2069

1697

Тальяны

394

285

Раздолье

40

22

ЭпиВакКорона

Привили 1к

Привили 2к

Тальяны

109

109

Раздолье

240

240

Тайтурка

150

100

Жовожилкино

20

20

Белореченский

46

43

Спутник Лайт

Белореченский

1347

Средний

642

Тельма

524

Тайтурка

589

Мишелевка

517

Тальяны

96

Новожилкино

549

Раздолье

52

 

 

Технологии виртуальных защищенных сетей VPN

Задача реализация корпоративной сети компании в рамках одного здания может быть решена относительно легко. Однако на сегодня инфраструктура компаний имеет географически распределенные отделы самой компании. Реализация защищенной корпоративной сети в таком случае задача более сложного плана. В таких случаях зачастую используют безопасные vpn сервера.

Концепция построения виртуальных защищенных сетей VPN

В концепции создании виртуальных сетей VPN лежит простая идея — если в глобальной сети есть 2 узла, которым нужно обменяться данными, то между ними нужно создать виртуальный защищенный туннель для реализации целостности и конфиденциальности данных, передающих через открытые сети.

Основные понятие и функции сети VPN

При наличии связи между корпоративной локальной сетью и сетью Интернет возникают угрозы информационной безопасности двух типов:

  • несанкционированный доступ к ресурсам локальной сети через вход
  • несанкционированный доступ к информации при передаче через открытую сеть Интернет

Защита данных при передаче по открытым каналам основана на реализации виртуальных защищенных сетей VPN. Виртуальной защищенной сетью VPN называют соединение локальные сетей и отдельных ПК через открытую сеть в единую виртуальную корпоративную сеть. Сеть VPN разрешает с помощью туннелей VPN создавать соединения между офисами, филиалами и удаленными пользователями, при этом безопасно транспортировать данные (рис.1).

Рисунок — 1

Туннель VPN являет собой соединение, проходящее через открытую сеть, где транспортируются криптографически защищенные пакеты данных. Защита данных при передаче по туннелю VPN реализована на следующих задачах:

  • криптографическое шифрование транспортируемых данных
  • аутентификация пользователей виртуальной сети
  • проверка целостности и подлинности передаваемых данных

VPN-клиент являет собой программный или аппаратный комплекс, работающий на основе персонального компьютера. Его сетевое ПО изменяется для реализации шифрования и аутентификации трафика.

VPN-сервер — также может быть программным или аппаратным комплексом, реализующий функции сервера. Он реализует защиту серверов от несанкционированного доступа из других сетей, а также организацию виртуальной сети между клиентами, серверами и шлюзами.

Шлюз безопасности VPN — сетевое устройство, подключаемое к 2 сетям и реализует функции аутентификации и шифрования для множества хостов, находящихся за ним.

Суть туннелирования заключается в том, чтобы инкапсулировать (упаковать) данные в новый пакет. Пакет протокола более низкого уровня помещается в поле данных пакета протокола более высокого или такого же уровня (рис.2). Сам процесс инкапсуляции не защищает от искажения или несанкционированного доступа, он разрешает защитить конфиденциальность инкапсулированных данных.

Рисунок — 2

При прибытии пакета в конечную точка виртуального канала из него извлекается внутренний исходных пакет, расшифровывают и используют дальше по внутренней сети (рис.3).

Рисунок — 3

Также инкапсуляция решает проблему конфликта двух адресов между локальными сетями.

Варианты создания виртуальных защищенных каналов

При создании VPN есть два популярных способа(рис.4):

  • виртуальных защищенный канал между локальными сетями (канал ЛВС-ЛВС)
  • виртуальный защищенных канал между локальной сетью и узлом (канал клиент-ЛВС)

Рисунок — 4

Первый метод соединения разрешает заменить дорогие выделенные каналы между отдельными узлами и создать постоянно работающие защищенные каналы между ними. Здесь шлюз безопасности служит интерфейсом между локальной сетью и туннелем. Многие предприятия реализуют такой вид VPN для замены или дополнения к Frame Relay.

Вторая схема нужна для соединения с мобильными или удаленными пользователями. Создания туннеля инициирует клиент.

С точки зрения информационной безопасности самым лучшим вариантом является защищенный туннель между конечными точками соединения. Однако такой вариант ведет к децентрализации управления и избыточности ресурсов, ибо нужно ставить VPN на каждом компьютере сети. Если внутри локальной сети, которая входит в виртуальную, не требует защиты трафика, тогда в качестве конечной точки со стороны локальной сети может выступать межсетевой экран или маршрутизатор этой же сети.

Методы реализации безопасности VPN

При создании защищенной виртуальной сети VPN подразумевают, что передаваемая информация будет иметь критерии защищаемой информации, а именно: конфиденциальность, целостность, доступность. Конфиденциальность достигается с помощью методов асимметричного и симметричного шифрования. Целостность транспортируемых данных достигается с помощью электронно-цифровой подписи. Аутентификация достигается с помощью одноразовых/многоразовых паролей, сертификатов, смарт-карт, протоколов строгой аутентификации.

Для реализации безопасности транспортируемой информации в виртуальных защищенных сетях, нужно решить следующие задачи сетевой безопасности:

  • взаимная аутентификация пользователей при соединении
  • реализация конфиденциальности, аутентичности и целостности транспортируемых данных
  • управление доступом
  • безопасность периметра сети и обнаружение вторжений
  • управление безопасностью сети

VPN-решения для создания защищенных сетей

Классификация сетей VPN

На основе глобальной сети Интернет можно реализовывать почти все виды трафика. Есть разные схемы классификации VPN. Самая распространенная схема имеет 3 признака классификации:

  • рабочий уровень модели OSI
  • архитектура технического решения VPN
  • метод технической реализации VPN

Защищенный канал — канал между двумя узлами сети, вдоль определенного виртуального пути. Такой канал можно создать с помощью системных методов, основанных на разных уровнях модели OSI (рис.5).

Рисунок — 5

Можно заметить, что VPN создаются на достаточно низких уровнях. Причина такова, что чем ниже в стеке реализованы методы защищенного канала, тем проще их реализовать прозрачными для приложений. На канальном и сетевом уровнях зависимость приложений от протоколов защиты исчезает. Если для защиты информации реализован протокол из верхних уровней, то способ защиты не зависит от технологии сети, что можно считать плюсом. Однако приложение становится зависимым от конкретного протокола защиты.

VPN канального уровня. Методы на таком уровня разрешают инкапсулировать трафик третьего уровня (и более высоких) и создавать виртуальные туннели типа точка-точка. К таким относят VPN-продукты на основе протокола L2F, PPTP, L2TP.

VPN сетевого уровня. VPN-продукты такого уровня реализуют инкапсуляцию IP в IP. К примеру используют протокол ipsec.

VPN сеансового уровня. Некоторые VPN реализуют подход «посредники каналов», такой метод работает над транспортным уровнем и ретранслирует трафик из защищенной сети в общедоступною сеть Интернет для каждого сокета отдельно.

Классификация VPN по архитектуре технического решения

Делят на:

  • внутрикорпоративные VPN — нужны для реализации защищенной работы между отделами внутри компании
  • VPN с удаленным доступом — нужны для реализации защищенного удаленного доступа к корпоративным информационным ресурсам
  • межкорпоративные VPN — нужны между отдельными частями бизнеса разнесенных географически
Классификация VPN по методу технической реализации

Делят на:

  • VPN на основе маршрутизаторов — задачи защиты падают на устройство маршрутизатора
  • VPN на основе межсетевых экранов — задачи защиты падают на устройство межсетевого экрана
  • VPN на основе программных решений — применяется ПО, которое выигрывает в гибкости и настройке, однако проигрывает в пропускной способности
  • VPN на основе специальных аппаратных устройствах — устройства, где шифрование реализовано специальными отдельными микросхемами, реализуют высокую производительность за большие деньги

Сети для самых маленьких. Часть седьмая. VPN

Покупка заводов в Сибири была стратегически правильным решением для компании “Лифт ми Ам”. После того, как лифты стали ездить не только вверх, но и вниз, дела компании пошли… нет полетели, вверх. Лифты начали разбирать, как горячие пирожки со стола. Название уже не соответствовало действительности и было принято решение о ребрендинге. (На самом деле их замучила судебная тяжба с Моби).
Итак, под крыло ЛинкМиАп планируется взять заводы в Новосибирске, Томске и Брно. Самое время подумать о том, как это хозяйство подключить к имеющейся сети.
Итак, сегодня рассматриваем
1) Возможные варианты подключения, их плюсы и минусы
2) Site-to-Site VPN на основе GRE и IPSec
3) Большая тема: динамическая многоточечная виртуальная сеть (DMVPN) в теории и на практике.
В традиционном видео лишь ёмкая выжимка из статьи, посвящённая работе и настройке DMVPN.



Когда вы хотите связать несколько офисов, у вас огромнейший выбор способов и средств. Всё зависит только от ваших возможностей, способностей, желаний и наличия оборудования.
Давайте по порядку.
А) Собственноручно строить физический канал. Тогда это может быть:

  1. Ethernet – витая пара. До 100 метров. Максимум по зданию или между соседними строениями. Скорость до 1 Гбит/c (Строго говоря, есть стандарт 10GBASE-T, позволяющий на том же расстоянии передавать данные на скорости 10Гбит/с).
  2. WiFi. Расстояние зависит от реализации: можно добиться работоспособности на 40 км при использовании мощных направленных антенн. В среднем до 5 км при прямой видимости. Скорость зависит от используемого стандарта и от расстояния. Необходимо регистрировать в “Роскомнадзоре”, а при больших мощностях излучения и получать разрешение на включение.
  3. xDSL – два-четыре провода. Скорость зависит от расстояния (теоретический максимум 250 Мбит/с, расстояние до 6 км). Хотя ходят слухи о разработке стандарта 1Гб/c по двум проводам. Или решения вроде E1.

    Имеется ввиду не подключение к интернету через xDSL, а именно линк: модем<-кабель->модем. Да, и такие решения существуют. Можно назвать это мостом.

  4. Радио-Релейные Линии. Расстояние до нескольких десятков километров. Скорость до 600 Мб/с. Но это решение уже операторского уровня, поскольку требует массу согласований и мероприятий по планированию, строительству, вводу в эксплуатацию.
  5. Оптоволокно. 1Гб/с (решения на 10 и 100 Гб/с могут стоить неоправданно дорого). Расстояние зависит от многих факторов: от нескольких километров до сотен. Необходимы согласования по прокладке кабеля, квалифицированный персонал для строительства и обслуживания. Для небольших компаний есть смысл только для подключения здания не очень далеко от центрального узла. Вообще, конечно, каждый случай индивидуален и требует расчёта.

В этом случае для вас всё прозрачно – вы используете свою собственную физическую линию, поэтому пропускать через неё можете что угодно без ограничений.
Б) Второй вариант – арендовать канал у провайдера. В случае необходимости стабильного канала до другого города – это самый распространённый и надёжный вариант. Провайдер может вам предоставить следующие услуги:

  1. Самый настоящий прямой кабель. Например, он может дать вам взаймы одно-два тёмных волокна из своего оптического пучка. Вы вольны отправлять в него всё, что вашей душе угодно. Со стороны провайдера это никак не контролируется, не ограничивается, он осуществляет только поддержку. Например, в случае аварии не вам придётся искать подрядчика и сварочный аппарат, а провайдеру. И за простой несёт ответственность он же. Если у вас это не по обоюдному согласию (читай, взаимозачёт), то, пожалуй, самый дорогой способ.
  2. L2VPN. Вы так же можете пускать в канал всё, что угодно, но в данном случае, ваш трафик пойдёт через активное оборудование провайдера, поэтому может ограничиваться, например, по скорости. Под этим термином понимается сразу несколько услуг второго уровня: VLAN – в том или ином виде между филиалами вам предоставлен VLAN. Псевдокабель (PWE3) – это услуга Точка-Точка, когда у вас как будто бы кабель между двумя узлами. Все переданные вами фреймы без изменений доставляются до удалённой точки. Аналогично обратным образом. Это возможно благодаря тому, что ваш фрейм, приходящий на маршрутизатор провайдера инкапсулируется в PDU вышестоящего уровня, как правило, это пакет MPLS. VPLS (Виртуальная частная сеть) – это симуляция локальной сети. В этом случае вся сеть провайдера для вас будет как некий абстрактный гигантский коммутатор. Как и настоящий он будет хранить таблицу MAC-адресов и принимать решение о том, куда отправить пришедший кадр. Реализуется это также инкапсуляцией кадра в MPLS пакет.
  3. L3VPN. В данном случае сеть провайдера – это как большой маршрутизатор с несколькими интерфейсами. То есть стык у вас будет происходить на сетевом уровне. Вы настраиваете IP-адреса на своих маршрутизаторах с обеих сторон, а вот маршрутизация в сети провайдера – это уже головная боль провайдера. IP-адреса для точек стыка можете либо определять вы, либо выдать провайдер – зависит от реализации и от вашей договорённости. Функционировать это может на основе GRE, IPSec или того же MPLS.

Эта услуга выглядит очень простой с точки зрения клиента – как в плане настройки, так и в плане реализации – но сложной – с точки зрения оператора.
С реализацией L2/L3 VPN на основе MPLS мы будем разбираться, но гораздо позже.
В) Ну и последний вариант: туннель через публичную сеть. Предположим, у вас есть выход в Интернет на обеих ваших точках. Зачастую самым дешёвым способом оказывается построить туннель между этими двумя точками. Для этого вам достаточно всего лишь иметь белые (публичные) статические адреса на всех точках (а иногда достаточно и на одной) и оборудование, на котором это реализовать. У этого решения есть ряд недостатков, которые мы рассмотрим ниже, но тем не менее именно на нём мы сегодня и остановимся.
Итак, ваша воля выбирать, какой вариант использовать, исходя из бюджета, целесообразности и ваших способностей к убеждению руководства.
В рамках данного выпуска нам нужно подключить 3 офиса: в Новосибирске, Томске и Брно. Условимся, что везде мы будем использовать только подключение к сети Интернет.
Схема подключения узлов hub and spoke – по-русски говоря, звезда: Напоминаю, что общая схема сети ЛинкМиАп выглядит сейчас уже так: Но от неё мы абстрагируемся, напирая только на существенные вещи.
Раз уж мы взялись реализовывать вариант В, то придётся разобраться детально в вариантах.
На сегодняшний день существует неисчислимое множество всевозможных приложений и протоколов для организации VPN, но большая их часть является способами подключения хостов, а не сетей. Мы подразумеваем удалённую работу. Например так: То есть это схема работы, когда один сотрудник подключается к корпоративной сети удалённо (teleworker в терминологии Cisco).
Откровенно говоря, нам это мало интересно, гораздо занимательнее вопрос, как подключать целые сети. Сегодня рассмотрим такие самые распространённые варианты:

  • GRE
  • IPSec (туннельный и транспортный режимы)
  • GRE over IPSec
  • VTI
  • DMVN
GRE

Generic Routing Encapsulation – очень простой протокол туннелирования. Такс, туннелирование. Это что ещё за зверь? Грубо говоря, это означает, что берутся ваши изначальные данные вместе со служебными заголовками (как правило, это IP, но может быть и Ethernet и ATM), упаковываются в пакет и передаются по публичной сети, словно машина едет в туннеле через горы. На конечном узле заголовки нового пакета снимаются, а ваши данные в исходном виде продолжают своё путешествие.
Не очень понятно, да? Разберём на примере с GRE.
Пока возьмём абстрактную топологию: Два маршрутизатора подключены к интернету через статические белые адреса. На каждом из них заведены приватные сети из диапазона 10.0.0.0/8.
Разумеется, эти сети не маршрутизируются в Интернете. (На картинке нарисованы компьютер и ноутбук, но на практике мы будем настраивать виртуальный интерфейс Loopback0)
Наша задача прокинуть туннель: Таким образом для ПК1 при общении с ПК2 не существует никакого Интернета – они оба будут думать, что находятся в одной локальной сети.
Настраивается GRE-туннель следующим образом:

interface Tunnel0
ip address 10.2.2.1 255.255.255.252

Поскольку туннель является виртуальным L3 интерфейсом, через который у нас будет происходить маршрутизация, ему должен быть назначен IP-адрес, который выбирается согласно вашему IP-плану, вероятно, из приватной сети.
В качестве адреса источника можно выбрать как IP-адрес выходного интерфейса
(белый адрес, предоставленный провайдером), так и его имя (FE0/0 в нашем случае):

tunnel source 100.0.0.1

Адрес destination – публичный адрес удалённой стороны:

tunnel destination 200.0.0.1

Законченный вид:

interface Tunnel0
ip address 10.2.2.1 255.255.255.252
tunnel source 100.0.0.1
tunnel destination 200.0.0.1

Сразу после этого туннель должен подняться:

R1#sh int tun 0
Tunnel0 is up, line protocol is up
Hardware is Tunnel
Internet address is 10.2.2.1/30
MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 100.0.0.1, destination 200.0.0.1
Tunnel protocol/transport GRE/IP

Вся основная информация здесь отражена. Обратите внимание на размер MTU – он не 1500, как ставится для обычных физических интерфейсов. О параметре MTU мы поговорим в конце статьи

По умолчанию GRE не проверяет доступность адреса назначения и сразу отправляет туннель в Up. Но стоит только добавить в туннельный интерфейс команду keepalive X, как маршрутизатор начинает отсылать кипалайвы и не поднимется, пока не будет ответа.

В нашей тестовой схеме в качестве локальной сети мы просто настроили Loopback-интерфейсы – они всегда в Up’е. Дали им адреса с маской /32. На самом же деле под ними подразумеваются реальные подсети вашего предприятия (ну, как на картинке).

interface Loopback0
ip address 10.0.0.0 255.255.255.255

На маршрутизаторе у вас должно быть два статических маршрута:

ip route 0.0.0.0 0.0.0.0 100.0.0.2
ip route 10.1.1.0 255.255.255.255 10.2.2.2

Первый говорит о том, что шлюзом по умолчанию является адрес провайдера 100.0.0.2:

R1#traceroute 200.0.0.1
Type escape sequence to abort.
Tracing the route to 200.0.0.1
1 100.0.0.2 56 msec 48 msec 36 msec
2 200.0.0.1 64 msec * 60 msec

Второй перенаправляет пакеты, адресованные хосту с адресом 10.1.1.0, на next-hop 10.2.2.2 – это адрес туннеля с обратной стороны.
GRE-туннели являются однонаправленными, и обычно подразумевается наличие обратного туннеля на другой стороне, хотя вообще говоря, это необязательно. Но в нашем случае, когда посередине Интернет, и задача – организовать приватную сеть, с обратной стороны должна быть симметричная настройка:
nsk-obsea-gw1:

interface Tunnel0
ip address 10.2.2.2 255.255.255.252
tunnel source 200.0.0.1
tunnel destination 100.0.0.1
ip route 0.0.0.0 0.0.0.0 200.0.0.2
ip route 10.0.0.0 255.255.255.255 10.2.2.1

Пробуем запустить пинг:

R1#ping 10.1.1.0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.0, timeout is 2 seconds:
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 44/71/136 ms
R1#tracer 10.1.1.0
Type escape sequence to abort.
Tracing the route to 10.1.1.0
1 10.2.2.2 68 msec * 80 msec

Великолепно! Но что происходит за кулисами?
А там, ребята, удивительные вещи:
Когда вы запускаете ping 10.1.1.0, что делает маршрутизатор?
1) Формирует IP-пакет:: 2) Смотрит таблицу маршрутизации

R1#sh ip route 10.1.1.0
Routing entry for 10.1.1.0/32
Known via «static», distance 1, metric 0
Routing Descriptor Blocks:
* 10.2.2.2
Route metric is 0, traffic share count is 1

Далее рекурсивно смотрит, где адрес 10.2.2.2:

R1#sh ip rou 10.2.2.2
Routing entry for 10.2.2.0/30
Known via «connected», distance 0, metric 0 (connected, via interface)
Routing Descriptor Blocks:
* directly connected, via Tunnel0
Route metric is 0, traffic share count is 1

Такссс, Tunnel 0:

R1#sh int tun 0
Tunnel0 is up, line protocol is up
Hardware is Tunnel
Internet address is 10.2.2.1/30
MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 100.0.0.1, destination 200.0.0.1

3) Понимая, что это GRE-туннель, добавляет к пакету заголове GRE: А сверху новый заголовок IР. В качестве отправителя будет значиться адрес tunnel source, а в качестве получателя – tunnel destination. 4) Новоиспечённый пакет отправляется в дивный мир по дефолтному маршруту:

R1#sh ip route
Gateway of last resort is 100.0.0.2 to network 0.0.0.0

5) Не забываем про заголовок Ethernet, при отправке провайдеру он также должен быть сформирован.
Поскольку GRE-туннель – виртуальный интерфейс 3-го уровня, он не обладает собственным MAC-адресом (как и Loopback, например). В конечном итоге кадр уйдёт с физического интерфейса FastEthernet0/0:

R1#sh ip route 100.0.0.2
Routing entry for 100.0.0.0/30
Known via «connected», distance 0, metric 0 (connected, via interface)
Routing Descriptor Blocks:
* directly connected, via FastEthernet0/0
Route metric is 0, traffic share count is 1

Соответственно его адрес он и укажет в качестве Source MAC

R1#sh int
FastEthernet0/0 is up, line protocol is up
Hardware is Gt96k FE, address is c000.25a0.0000 (bia c000.25a0.0000)
Internet address is 100.0.0.1/30

Destination по традиции берётся из ARP-кэша или получается с помощью ARP-запроса от адреса 100.0.0.2:

R1#show arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 100.0.0.1 – c000.25a0.0000 ARPA FastEthernet0/0
Internet 100.0.0.2 71 c001.25a0.0000 ARPA FastEthernet0/0

6) И в таком виде новый IP-пакет передаётся в интернет. А поскольку каждый маршрутизатор не раздербанивает пакет, а принимает решение на основе первого же заголовка IP, то никто в Интернете не будет знать о том, что где-то там внутри кроются ваши приватные адреса 10.1.1.0 и 10.0.0.0.
7) И наконец пребывает в точку назначения.
R3 обнаруживает, что адрес назначения принадлежит ему самому, снимает заголовок IP и что он под ним находит? GRE-заголовок.
Он проверяет, что у него действительно есть такой GRE-туннель, снимает заголовок GRE, и дальше это уже самый обычный IP-пакет, с которым нужно распорядиться согласно записям в таблице маршрутизации.
В данном случае передать на обработку интерфейсу Loopback 0

R3#sh ip route 10.1.1.0
Routing entry for 10.1.1.0/32
Known via «connected», distance 0, metric 0 (connected, via interface)
Routing Descriptor Blocks:
* directly connected, via Loopback0
Route metric is 0, traffic share count is 1

Вот такие нехитрые манипуляции.
Пока пакет в локальной сети он выглядит так: и обрабатывается на основе приватных адресов.
Как только попадает в публичную сеть, GRE вешает на него дополнительный IP-заголовок: и пакет обрабатывается на основе публичных адресов. Вот как выглядит пакет в Интернете: 1 – изначальные данные
2 – первый IP-заголовок (внутренний)
3 – заголовок GRE (с указанием, что внутри лежат данные протокола IP)
4 – новый заголовок IP (внешний, с туннельными адресами)
Рядовой обмен ICMP-сообщениями может при детальном рассмотрении выглядеть и так.
Полная конфигурация маршрутизаторов для GRE.
Если попытаться провести аналогии с осязаемым миром, то представим ситуацию, когда вы едете из деревни, инкапсулированные в автомобиль. Доезжаете до реки, и вам надо перебраться на другой берег и там продолжить своё путешествие в город.
На речном порту ваш автомобиль инкапсулируют в паром и переправляют через бушующие волны на другую сторону, где ваш автомобиль извлекают, и вы продолжаете движение. Так вот этот паром и был GRE-паромом.

Сделаем три ремарки:
Во-первых, интерфейсы Loopback и адреса с маской /32 мы выбрали просто для теста, фактически это вполне бы могли быть интерфейсы fa1/0.15 и fa0/1.16 с подсетями 172.16.15.0/24 и 172.16.16.0/24, например, или любые другие.
Во-вторых, мы тут всё ведём речи о публичных сетях и адресах, но на самом деле, конечно, это не имеет значения и туннели вполне можно поднимать даже внутри своей корпоративной сети, когда конечные сети и так имеют IP-связность без туннеля.
В-третьих, несмотря на то, что теоретически обратно трафик может возвращаться и не по туннелю, создать его необходимо, чтобы конечный узел могу успешно декапсулировать GRE-пакеты

Обычный GRE – яркий пример туннелирования, который очень просто настраивается и сравнительно легко траблшутится.
Очевидно, вы уже догадываетесь, какие три большие проблемы подстерегают нас на этом поле?

  • Безопасность. Данные, инкапсулированные в GRE, передаются тем не менее в открытом виде.
  • Сложность масштабирования. Если у вас 5-7 филиалов, обслуживание такого количества туннелей ещё кажется возможным, а если их 50? Причём туннелирование трафика зачастую производится на CPU, особенно на младшей и средней линейках, поэтому это лишняя нагрузка на процессор.
  • Все филиалы будут взаимодействовать друг с другом через центральный узел, хотя могли бы напрямую.
IPSec

Первую озвученную выше проблему призвано решить шифрование.
Сейчас для организации шифрованного VPN-канала используются преимущественно следующие технологии: IPSec (IP Security), OpenVPN и PPTP (Point-to-Point Tunneling Protocol).
Бессменным лидером, конечно, является IPSec, о нём и поговорим.
Для начала нужно уяснить себе, что IPSec – это не протокол, это стандарт, включающий в себя целых три протокола, каждый со своими функциями:

  1. ESP (Encapsulating Security Payload – безопасная инкапсуляция полезной нагрузки) занимается непосредственно шифрованием данных, а также может обеспечивать аутентификацию источника и проверку целостности данных
  2. AH (Authentication Header – заголовок аутентификации) отвечает за аутентификацию источника и проверку целостности данных
  3. IKE (Internet Key Exchange protocol – протокол обмена ключами) используется для формирования IPSec SA (Security Association, об этом чуть ниже), проще говоря, согласования работы участников защищенного соединения. Используя этот протокол, участники договариваются, какой алгоритм шифрования будет использоваться, по какому алгоритму будет производиться (и будет ли вообще) проверка целостности, как аутентифицировать друг друга

Прежде чем переходить дальше, разберемся с термином SA – Security Association. SA в общем смысле представляет собой набор параметров защищенного соединения (например, алгоритм шифрования, ключ шифрования), который может использоваться обеими сторонами соединения. У каждого соединения есть ассоциированный с ним SA. Теперь по порядку, как создается защищенное соединение в IPSec:

  • Для начала, участникам надо договориться, какие алгоритмы/механизмы защиты они будут использовать для своего защищенного соединения, поэтому в дело вступает IKE. Процесс состоит из двух фаз:
    • Фаза первая: участники аутентифицируют друг друга и договариваются о параметрах установки специального соединения (тоже защищенного), предназначенного только для обмена информацией о желаемых/поддерживаемых алгоритмах шифрования и прочих деталях будущего IPSec-туннеля. Параметры этого мини-туннеля (правильно он называется ISAKMP Tunnel) определяются политикой ISAKMP, в режим редактирования которой мы можем попасть из конфигурационного режима командой crypto isakmp policy номер_политики. Если стороны пришли к соглашению, устанавливается ISAKMP туннель (его наличие можно посмотреть командой show crypto isakmp sa), по которому уже проходит вторая фаза IKE.
    • Фаза вторая: уже доверяющие друг другу участники договариваются о том, как строить основной туннель для данных. Они по очереди предлагают друг другу варианты, указанные в команде crypto ipsec transform-set, и, если приходят к согласию, поднимают основной туннель. Нужно сказать, что, после его установления, вспомогательный ISAKMP туннель никуда не пропадает – он используется для обновления SA основного. Дело в том, что ключи, выбираемые для шифрования информации в IPSec-туннеле, имеют некоторое “время жизни” (может выражаться как в количестве байт, так и в секундах – что первое достигнет порогового значения), по истечение которого должны быть заменены. Это как пароль, который вы меняете раз в час (по умолчанию lifetime IPSec SA составляет 4608000 килобайт/3600 секунд).
  • Участники получили шифрованный туннель с параметрами, которые их всех устраивают, и направляют туда потоки данных, подлежащие шифрованию, т.е., подпадающие под указанный в crypto map аксесс-лист.
  • Периодически, в соответствии с настроенным lifetime, обновляются ключи шифрования для основного туннеля: участники вновь связываются по ISAKMP-туннелю, проходят вторую фазу и устанавливают новые SA.

Строго говоря, в этом процессе есть нулевой шаг: некий трафик должен попасть в соответствие аксесс-листу в крипто мапе. Только после этого будет происходить все остальное.

Теперь немного о трансформ-сете и чем отличается ESP от AH. Как будут шифроваться наши данные, идущие через туннель, определяет команда crypto ipsec transform-set имя_сета, после которой идет название протокола, который будет использован (ESP или AH) + алгоритм, по которому будет работать протокол. Например, команда crypto ipsec transform-set SET1 esp-aes даст понять роутеру, что трансформ-сет с именем “SET1”, если он будет применен, будет работать только по протоколу ESP c шифрованием алгоритмом AES. Ну если с ESP все более-менее понятно, его дело-шифровать (обеспечивать конфиденциальность), то что такое AH и зачем он вообще нужен? AH обеспечивает аутентификацию данных, то есть дает уверенность, что эти данные пришли именно от того, с кем мы установили связь, и не были изменены по дороге. Если не углубляться в подробности, работает это так: в каждый пакет между заголовком IP и заголовком транспортного уровня вставляется заголовок AH, в котором присутствует:

  • информация, по которой получатель может понять, к какой SA относится данный пакет (т.е., в том числе, по какому алгоритму ему считать хеш для сравнения – MD5 или SHA)
  • так называемый ICV (Integrity Check Value), представляющий собой хеш от пакета (на самом деле, не всего пакета, а неизменяемых в процессе путешествия полей), который позволяет однозначно убедиться получателю, что этот пакет не изменялся по дороге, путем вычисления хеша от той же информации и сравнения результата со значением этого поля.

IPSec может работать в двух режимах: туннельном и транспортном.

Туннельный режим работы IPSec

В этом режиме берётся ваш изначальный IP-пакет, шифруется полностью, вместе с заголовком IP, добавляется служебная информация IPSec и новый заголовок IP:
*рисунок не точен и показывает лишь суть, на самом деле заголовков там больше, а так же есть трейлеры в конце.
Это режим по умолчанию.
Давайте опять разберёмся по ходу настройки.
На локальной стороне:
Сначала общую политику для фазы 1 – установление первого, вспомогательного туннеля: тип шифрования (по умолчанию DES) и аутентификации. Аутентификацию можно делать на основе сертификатов, но мы рассмотрим простой пример с предварительным ключом:

crypto isakmp policy 1
encr aes
authentication pre-share

Часто задаются несколько таких политик с различными комбинациями шифрования, хеша и группы DH. Чем больше номер политики, тем позже он будет рассмотрен (в зависимости от того, кто инициирует соединение). То есть сначала выбирается политика с наименьшим номером – не совпали на обеих сторонах, выбирается следующая (с большим номером) и т.д. Логично, что самой безопасной должна быть первая.

Указываем pre-shared key для проверки подлинности соседа 200.0.0.1

crypto isakmp key CISCO address 200.0.0.1

Далее мы указываем параметры для обработки трафика. Алгоритм шифрования AES с использованием ESP-заголовка и алгоритм аутентификации.

crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac

На самом деле мы указываем сразу набор протоколов, как вы видите, он и называется transform-set. При установке IPSec-сессии маршрутизаторы обмениваются этими наборами. Они должны совпадать.

Для упрощения траблшутинга имена для transform-set обычно даются по применённым протоколам.

Теперь создаём карту шифрования:

crypto map MAP1 10 ipsec-isakmp 
set peer 200.0.0.1
set transform-set AES128-SHA 
match address 101

Вот именно тут и определяется адрес соседа IPSec, с которым потом будет устанавливаться туннель – 200.0.0.1. Тут же привязывается набор протоколов и ACL, определяющий, какой трафик будет шифроваться и передаваться через туннель.
В нашем случае он выглядит так:

access-list 101 permit ip host 10.0.0.0 host 10.1.1.0

Будьте внимательны при задании ACL. Он определяет параметры не только исходящего трафика, но и входящего (в отличие от ACL для NAT, например).
То есть если придут пакеты не от 10.1.1.0, а от 10.2.2.2, он не будет обработан и дешифрован.

То бишь, если мы генерируем трафик с хоста с адресом 10.0.0.0 на 10.1.1.0, то он и только он будет шифроваться и отправляться именно в IPSec-туннель. Любой другой пойдёт простым путём.

Заметим, что шифрование, происходит практически в самую последнюю очередь, после маршрутизации.
И это, кстати, очень важный момент. Вам недостаточно маршрута до публичного адреса пира (200.0.0.1). Нужен маршрут до 10.1.1.0 пусть даже он дефолтный. Иначе пакет будет отброшен в соответствии с обычными правилами маршрутизации.
Как бы странно это ни казалось, но трафик в локальную сеть у вас должен быть “зарулен”, например, в Интернет. При этом приватные пакет, которые уже вот-вот должны быть отправлены к провайдеру и там отброшены, в последний момент шифруется, получая публичные адреса.
Кстати, тут есть таблица с порядком следования операций, производимых над трафиком.

Последний шаг – привязка карты шифрования к интерфейсу. Пока вы этого не сделаете механизм не будет работать.

interface FastEthernet0/0
crypto map MAP1

С обратной стороны нужно произвести симметричную настройку.
Поэтому просто применяем следующую конфигурацию на R3:

crypto isakmp policy 1
encr aes
authentication pre-share
crypto isakmp key CISCO address 100.0.0.1
!
!
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac 
! 
crypto map MAP1 10 ipsec-isakmp 
set peer 100.0.0.1
set transform-set AES128-SHA 
match address 101

interface FastEthernet0/1
crypto map MAP1

access-list 101 permit ip host 10.1.1.0 host 10.0.0.0

Вот и всё.
Но сколько бы вы после ни смотрели show crypto session или show crypto isakmp sa, вы увидите только Down. Туннель никак не поднимается.
Счётчики show crypto ipsec sa. Так же по нулям.

R1#sh crypto session
Crypto session current status
Interface: FastEthernet0/0
Session status: DOWN
Peer: 200.0.0.1 port 500
IPSEC FLOW: permit ip host 10.0.0.0 host 10.1.1.0
Active SAs: 0, origin: crypto map
R1#sh crypto isakmp sa
dst src state conn-id slot status

Дело в том, что вам необходимо пустить в него трафик. В прямом смысле, например так:

R1#ping 10.1.1.0 source 10.0.0.0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.0, timeout is 2 seconds:
Packet sent with a source address of 10.0.0.0
.!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 60/94/160 ms

И как только вы это сделали, вас ждёт успех:

R1#sh crypto session
Crypto session current status
Interface: FastEthernet0/0
Session status: UP-ACTIVE
Peer: 200.0.0.1 port 500
IKE SA: local 100.0.0.1/500 remote 200.0.0.1/500 Active
IPSEC FLOW: permit ip host 10.0.0.0 host 10.1.1.0

Active SAs: 2, origin: crypto map R1#sh crypto isakmp sa
dst src state conn-id slot status
200.0.0.1 100.0.0.1 QM_IDLE 1 0 ACTIVE

Полная конфигурация маршрутизаторов.
=====================
Задача №1
Начальная конфигурация: «IPsec»
Маршрутизатор R1 стоит в центральном офисе.
Маршрутизатор R3 — это маршрутизатор в одном из филиалов.
К схеме добавляется маршрутизатор R4 — второй филиал.
Задание:
1. Настроить туннель IPsec с использованием crypto-map между R4 и R1:
— Политики защиты данных такие же, как и для туннеля между R3 и R1.
2. Добавить соответствующие настройки для того чтобы R3 и R4 также могли обмениваться данными:
— Данные между филиалами за R3 и R4 должны передаваться через центральный маршрутизатор R1
Подробности задачи тут
=====================
Что произошло?
1) Мы запустили пинг на адрес 10.1.1.0 с адреса 10.0.0.0.
2) Согласно таблице маршрутизации пакет должен быть передан в публичную сеть в том виде, в каком он есть.
3) Но маршрутизатор видит, что это подпадает по его ACL 101 и передаёт пакет в работу IPSec’у.
4) IPSec, работая в туннельном режиме (режим по умолчанию), упаковывает исходный пакет сначала в IPSec PDU, попутно шифруя всё и вся, а потом укомплектовывает его новым IP-заголовком. В качестве адреса назначения маршрутизатор прописывает адрес своего IPSec-соседа – 200.0.0.1.
На скриншоте ниже вы можете видеть инкапсуляцию: Это был обмен ICMP-сообщениям. Все исходные данные зашифрованы, включая старый IP, новый IP-заголовок опирается на настройку IPSec.
5) На конечном узле маршрутизатор видит, что адрес назначения принадлежит ему, снимает заголовок IP и видит заголовок IPSec, этому протоколу он и передаёт пакет на обработку. Последний дешифруется, удаляется вся служебная информация, и исходный пакет путешествует дальше.
Почему мы запускали такой странный Ping? В нём мы указали адрес отправителя явно.
Если же мы попытаемся запустить Ping 10.1.1.0, то он не пройдёт, потому что маршрутизатор автоматически подставляет в качестве отправителя адрес физического интерфейса: 100.0.0.1, который не попадает в наш ACL, и поэтому пакет пытается уйти на шлюз последней надежды.
Какую самую главную проблему мы имеем тут? Бинго! Динамическая маршрутизация. Внедрить её в таких условиях невозможно – все IGP требуют прямого L2-линка между соседями, чего не обеспечивает IPSec. Поэтому в такой реализации трафик отправляется в туннель на основе ACL и карты шифрования, а не таблицы маршрутизации.
Плюс мы имеем проблему с мультикастом, потому что задаём конкретные подсети в ACL.
Полная конфигурация маршрутизаторов.
=====================
Задача №2
Конфигурация: «IPsec»
Примечание:
Задача может быть решена, как теоретически, так и практически.
Если Вы будете пробовать задачу на практике, то внимательно соблюдайте условия задачи.
Условия задачи:
Маршрутизатор R1 стоит в центральном офисе и к нему будут подключены 3 филиала (для данной задачи достаточно маршрутизаторов R1, R2, R3. R3 — в роли одного из филиалов). В филиалах используются маршрутизаторы с разными возможностями, и необходимо использовать разные политики IPsec. Всего есть 3 различные политики.
На маршрутизаторе R3, кроме туннеля в центральный офис также есть несколько туннелей с партнерами. Поэтому тут тоже созданы различные политики.
Трафик передается только из филиалов в центральный офис, между филиалами коммуникаций нет.
Со стороны филиала R3 в центральный офис R1 генерируются данные, которые инициируют туннель VPN.
Вопрос: Какую политику защиты данных будут использовать маршрутизаторы для построения туннеля между собой?
Подробности задачи тут
=====================
Это был туннельный режим, коллеги. Переходим к следующему экспонату.

Транспортный режим работы IPSec

Он много чем отличается от туннельного, но самое важное – это метод инкапсуляции.
Вот пакет IPSec в туннельном режиме А это пакет IPSec в транспортном: То есть туннельный шифрует изначальный пакет полностью и добавляет новый заголовок IP. Транспортный же шифрует всё, что выше уровня IP, а заголовок IP оставляет без изменений.
Грубо говоря, туннельный режим вы используете для того, чтобы связать две приватные сети через публичную, обеспечив при этом шифрование (Что-то вроде безопасного GRE). Транспортный же актуален тогда, когда IP-связность уже достигнута, но трафик между узлами нужно шифровать.
Удачным примером применения транспортного режима может быть схема сервер-клиент. Например, работа клиент-банка. Сервер и так уже доступен, но трафик нужно зашифровать.
Но мы не об этом. Нам всё-таки, надо объединять сети.
=====================
Задача №3
Схема: «итоговая схема задачи 7.1»
Конфигурации устройств: на сайте проекта
Описание проблемы:
Не передаются данные между R1 и R4.
Задание:
Найти ошибку и исправить конфигурацию так, чтобы туннель между R1 и R4 установился и передавался трафик между R1 и R4.
Подробности задачи тут
=====================

GRE over IPSec

У начинающих тут часто случается конфуз (он и у автора случился): GRE over IPSec или IPSec over GRE. В чём разница, где применяются. Нельзя на этом не остановиться.
Обычный режим, который мы рассматриваем тут и который применяется в подавляющем большинстве случаев, – это GRE over IPSec, то есть данные GRE инкапсулируются заголовками ESP или AH
А IPSec over GRE означает, наоборот, что внутри будут зашифрованные данные IPSec, а сверху заголовки GRE/IP. Они будут не зашифрованы: Такой вариант возможен, например, если шифрование у вас происходит на отдельном устройстве перед туннелированием Зачем такая пахабщина нужна, не очень понятно, поэтому обычно используется именно GRE over IPSec.
Вернёмся к нашей старой схеме и реализуем на ней именно этот вариант. Разумеется, при этом у нас снова появляется туннельный интерфейс (настраивается, как обычный GRE):

interface Tunnel0
ip address 10.2.2.1 255.255.255.252
tunnel source 100.0.0.1
tunnel destination 200.0.0.1

И далее вы направляете в него нужный вам трафик статическим маршрутом.

ip route 10.1.1.0 255.255.255.255 10.2.2.2

Что при этом меняется в настройке IPSec?
В принципе, даже если вы ничего не поменяете, всё уже будет работать, но это не наш путь.
Во-первых, поскольку туннель уже существует (GRE), нет нужды делать его ещё и средствами IPSec – можно перевести его в транспортный режим, тем самым, сэкономив 20 байтов на лишнем IP-заголовке:

crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
mode transport

*Заметьте, менять, это надо на обеих сторонах, иначе соседство IPSec не установится.
Во-вторых, шифроваться должен весь трафик между филиалами, то есть тот, который идёт через туннель, соответственно, нет необходимости прописывать все сети в ACL, поступим хитрее:

access-list 101 permit gre host 100.0.0.1 host 200.0.0.1

Условие выполняется, если на порт пришёл трафик с заголовком GRE и соответствующими адресами.
Что будет происходить при таком раскладе?
1) Пакет с адресом назначения 10.1.1.0 приходит на маршрутизатор, тот определяет по своей таблице, что пакет нужно передать на next-hop 10.2.2.2

R1#sh ip route 10.1.1.0
Routing entry for 10.1.1.0/32
Known via «static», distance 1, metric 0
Routing Descriptor Blocks:
* 10.2.2.2
Route metric is 0, traffic share count is 1

2) Это туннельный интерфейс, с адресом назначения 200.0.0.1. Пакет упаковывается заголовком GRE и новым IP заголовком.

R1#sh int tun 0
Tunnel0 is up, line protocol is up
Hardware is Tunnel
Internet address is 10.2.2.1/30
MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 100.0.0.1, destination 200.0.0.1
Tunnel protocol/transport GRE/IP

3) Сеть 200.0.0.1 известна через адрес 100.0.0.2

R1#sh ip route
Gateway of last resort is 100.0.0.2 to network 0.0.0.0

А подсеть 100.0.0.0/30 подключена к интерфейсу FE0/0

R1#sh ip route 100.0.0.0
Routing entry for 100.0.0.0/30, 1 known subnets
Attached (1 connections)
C 100.0.0.0 is directly connected, FastEthernet0/0

А на него применена карта шифрования с ACL.
Трафик, естественно, подпадает под него (имеет заголовок GRE и нужные IP-адреса), поэтому всё, что находится внутри внешнего IP-заголовка будет зашифровано.
Такая схема работы позволяет нормально внедрять протоколы динамической маршрутизации, а также передавать мультикастовый трафик, оставляя возможность шифрования. Хулиганы уже не смогут выкрасть секретные рецепты приготовления лифтов.
=====================
Задача №5
Схема: «GRE_over_IPSec»
Конфигурация: на сайте проекта
Описание проблемы:
После настройки GRE over IPSec между R1 и R3, всё прекрасно работает, трафик между R1 и R3 (c 10.0.0.0 на 10.1.1.0) передается.
Однако, через несколько дней, когда администратор хотел посмотреть состояние VPN, обнаружилось, что на маршрутизаторах вообще нет установленных SA.
Соответственно, трафик между R1 и R3 не шифруется.
Задание:
Необходимо проверить настройки, исправить конфигурацию и сделать так, чтобы трафик шифровался (трафик между loopback-интерфейсами 10.0.0.0 и 10.1.1.0).
Подробности задачи тут
=====================
Полная конфигурация маршрутизаторов для GRE over IPSec.

Можно сделать тут ещё одно дополнение: технически, можно исключить четырёхбайтовый заголовок GRE из пакета, указав с обеих сторон, что режим работы туннеля IPIP:

interface Tunnel0
tunnel mode ipip

Нужно правда помнить, что в этом случае инкапсулировать можно только данные IP, а не любые, как в случае GRE.

=====================
Задача №4
Схема: «GRE_over_IPSec»
Конфигурация: «GRE_over_IPSec»
Задание:
Изменить исходную конфигурацию GRE over IPSec и настроить GRE over IPsec без использования crypto-map.
Подробности задачи тут =====================

IPSec VTI

Последний пример Site-to-Site VPN с использованием IPSec, который, собственно, и рекомендован циской – VTI (Virtual Tunnel Interface)
Настройка IPSec отличается тем, что нам уже не нужно создавать вручную crypto-map (а соответственно и ACL), вместо него мы создаём IPSec-профиль

crypto isakmp policy 1
authentication pre-share
crypto isakmp key CISCO address 100.0.0.1
!
!
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac 
mode transport

crypto ipsec profile VTI-P
set transform-set AES128-SHA 

А его в свою очередь обязательно нужно привязать к туннельному интерфейсу.

interface Tunnel0
tunnel protection ipsec profile VTI-P

Отличие от использованных ранее Crypto map в том, что сейчас нет нужды создавать ACL – весь трафик, попадающий в туннель, шифруется (карты шифрования тем не менее по-прежнему создаются, но уже автоматически).
Это получился обычный Tunnel Protection без VTI. Так же широко используется.
Команда tunnel mode ipsec ipv4 указывает на использование VTI.
Отличие от обычного GRE в методах инкапсуляции – в VTI экономится 4 байта путём исключения GRE-заголовка.
Небольшое описание
Полная конфигурация маршрутизаторов для IPSec VTI.

DMVPN

Апофеоз сегодняшнего выпуска – DMVPN (Dymamic Multipoint VPN). До сих пор речь была об универсальных вендоронезависымых вещах. К сожалению, DMVPN – вещь сугубо цисковская и открытых адекватных аналогов пока не имеет (поправьте, если ошибаюсь).
В предыдущих частях мы решили проблему с безопасностью передаваемых данных – теперь мы их шифруем – и с IGP – посредством GRE over IPSec мы используем протоколы динамической маршрутизации. Осталась последняя проблема – масштабируемость.
Хорошо, когда у вас вот такая сеточка: По два туннеля на каждом узле и всё.
Добавляем ещё один узел: И ещё один: Нужно уже гораздо больше туннелей для получения полносвязной топологии. Типичная проблема со сложностью m*(m-1)/2.
Если не использовать Full-Mesh, а обратиться к топологии Hub-and-Spoke с одной центральной точкой, то появляется другая проблема – трафик между любыми филиалами будет проходить через центральный узел.
DMVPN позволяет решить обе проблемы.
Суть такая: выбирается центральная точка Hub (или несколько). Она будет сервером, к которому будут подключаться клиенты (Spoke) и получать всю необходимую информацию. При этом:
1) Данные будут зашифрованы IPSec
2) Клиенты могут передавать трафик непосредственно друг другу в обход центрального узла
3) Только на центральном узле необходим статический публичный IP-адрес. Удалённые узлы могут иметь динамический адрес и находиться даже за NATом, используя адреса из частных диапазонов (Технология NAT Traversal ). Но при этом возникают ограничения по части динамических туннелей.
Это всё средоточие мощи GRE и IPSec, сдобренное NHRP и IGP.

Теория и практика DMVPN

Абстрагируясь от нашей старой сети, возьмём в рассмотрение только Москву, сеть Интернет, которую будет эмулировать маршрутизатор Балаган-Телеком, и собственно филиалы в Новосибирске, Томске и Брно: Новый IP-план:
Подсети, выделенные для подключения к интернету филиалов: LAN: Для туннельных интерфейсов возьмём внутреннюю сеть: И назначим также адреса Loopback для них: Идея заключается в том, что на центральном узле будет один единственный динамический туннель, который мы настроим в самом начале, а при добавлении новых удалённых точек, здесь не нужны изменения – ни добавлять новые туннельные интерфейсы, ни перенастраивать уже существующий.
Фактически при добавлении новых узлов настраивать нужно только их.
Везде запускается протокол NHRP – NBMA Next Hop resolution Protocol.
Он позволяет динамически изучать адреса удалённых точек, который желают подключиться к основной.
На нём и основана возможность реализации multipoint VPN. Хаб (центральный узел) здесь выступает как сервер (NHS – Next-Hop Server), а все удалённые узлы будут клиентами (NHC – Next-Hop Client).
Звучит это сложно. На пальцах объяснить тоже не получится. Надо лишь один раз настроить и посмотреть, как бегают пакеты.
Конфигурация хаба:

interface Tunnel0
ip address 172.16.254.1 255.255.255.0
ip nhrp map multicast dynamic
ip nhrp network-id 1
tunnel source FastEthernet0/1.6
tunnel mode gre multipoint

По порядку:
ip address 172.16.254.1 255.255.255.0 – IP-адрес из нужного диапазона.
ip nhrp map multicast dynamic – Динамическое изучение данных NHRP от клиентов. Поскольку клиентов у нас множество и они могут быть с динамическими адресами, на хабе нельзя задать явное соответствие внутренних и внешних адресов.
ip nhrp network-id 1 – Определяем Network ID – просто идентификатор, который необязательно должен быть одинаковым на всех узлах DMVPN (похож на OSPF Router-ID).
tunnel source FastEthernet0/1.6 – наследие GRE – привязка к физическому интерфейсу.
tunnel mode gre multipoint – Туннель на центральном узле будет терминировать все туннели от удалённых точек. То есть он будет точка-многоточка (Point-to-MultiPoint).
Конфигурация филиала:

interface Tunnel0
ip address 172.16.254.2 255.255.255.0
ip nhrp map 172.16.254.1 198.51.100.2
ip nhrp map multicast 198.51.100.2
ip nhrp network-id 1
ip nhrp nhs 172.16.254.1
ip nhrp registration no-unique
tunnel source FastEthernet0/0
tunnel mode gre multipoint

По порядку:
ip address 172.16.254.2 255.255.255.0 – IP-адрес из нужного диапазона.
ip nhrp map 172.16.254.1 198.51.100.2 – Статическое соотношение внутреннего и внешнего адресов хаба.
ip nhrp map multicast 198.51.100.2 мультикастовый трафик должен получать хаб.

Без этой команды у вас будут довольно интересные симптомы проблемы.
Вот вы запустили OSPF, пиринг поднимается, хаб и филиалы переходят в состояние Full, обменялись маршрутами, и вы уже радуетесь, что всё отлично, и тут бац – пинг пропадает, пиринг падает, но только с одной стороны, мол истёк dead-timer.
*Mar 1 01:51:20.331: %OSPF-5-ADJCHG: Process 1, Nbr 172.16.255.2 on Tunnel0 from FULL to DOWN, Neighbor Down: Dead timer expired
msk-arbat-gw1#
*Mar 1 01:51:25.435: %OSPF-5-ADJCHG: Process 1, Nbr 172.16.255.2 on Tunnel0 from LOADING to FULL, Loading Done

Что за фигня?
Смотрим дебаг, смотрим дампы
*Mar 1 01:53:44.915: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.4 from 172.16.2.1
*Mar 1 01:53:44.919: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.7 from 172.16.2.33
*Mar 1 01:53:44.923: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.5 from 172.16.2.17
*Mar 1 01:53:44.923: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.8 from 172.16.2.129
*Mar 1 01:53:44.963: OSPF: Send hello to 224.0.0.5 area 0 on Tunnel0 from 172.16.254.1
msk-arbat-gw1#
*Mar 1 01:53:54.919: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.4 from 172.16.2.1
*Mar 1 01:53:54.923: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.7 from 172.16.2.33
*Mar 1 01:53:54.927: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.5 from 172.16.2.17
*Mar 1 01:53:54.931: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.8 from 172.16.2.129
*Mar 1 01:53:54.963: OSPF: Send hello to 224.0.0.5 area 0 on Tunnel0 from 172.16.254.1
msk-arbat-gw1#
*Mar 1 01:54:04.919: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.4 from 172.16.2.1
*Mar 1 01:54:04.927: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.7 from 172.16.2.33
*Mar 1 01:54:04.931: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.5 from 172.16.2.17
*Mar 1 01:54:04.935: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.8 from 172.16.2.129
*Mar 1 01:54:04.963: OSPF: Send hello to 224.0.0.5 area 0 on Tunnel0 from 172.16.254.1
На 5 OSPF Hello от хаба только один Hello от филиала.
Как вы уже поняли, маршрутизатор просто не может сообразить куда посылать мультикастовые сообщения на адрес 224.0.0.5, хаб их не получает и дёргает OSPF-сессию.

ip nhrp network-id 1 – Network ID. Не обязательно должен совпадать с таким же на хабе.
ip nhrp nhs 172.16.254.1 – Статически настроенный адрес NHRP сервера – хаба. Именно поэтому в центре нам нужен статический публичный адрес. Клиенты отправляют запрос на регистрацию на хаб 172.16.254.1. Этот запрос содержит настроенный локальный адрес туннельного интерфейса, а также свой публичный адрес (случай, когда клиент находится за NAT пока не рассматриваем). Полученную информацию хаб заносит в свою NHRP-таблицу соответствия адресов. Эту же таблицу он распространяет по запросу любому Spoke-маршрутизатору.
ip nhrp registration no-unique – если адрес в филиалах выдаётся динамически, эта команда обязательна.
tunnel source FastEthernet0/0 – привязка к физическому интерфейсу.
tunnel mode gre multipoint – указываем, что тип туннеля mGRE – это позволит создавать динамически туннели не только до хаба, но и до других филиалов.
У нас ситуация простая – без NAT – и мы можем уже сейчас проверить состояние туннелей.

msk-arbat-gw1#sh int tun 0
Tunnel0 is up, line protocol is up
Hardware is Tunnel
Internet address is 172.16.254.1/24
MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 198.51.100.2 (FastEthernet0/1.6), destination UNKNOWN
Tunnel protocol/transport multi-GRE/IP
Key disabled, sequencing disabled
Checksumming of packets disabled

msk-arbat-gw1#ping 172.16.254.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.254.2, timeout is 2 seconds:
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 176/213/284 ms

msk-arbat-gw1#sh ip nhrp brief
Target Via NBMA Mode Intfc Claimed
172.16.254.2/32 172.16.254.2 198.51.101.2 dynamic Tu0 < >
msk-arbat-gw1#sh ip nhrp
172.16.254.2/32 via 172.16.254.2, Tunnel0 created 00:09:48, expire 01:50:11
Type: dynamic, Flags: authoritative unique registered
NBMA address: 198.51.101.2
nsk-obsea-gw1#sh ip nhrp brief
Target Via NBMA Mode Intfc Claimed
172.16.254.1/32 172.16.254.1 198.51.100.2 static Tu0 < >

OSPF

То есть связность уже обеспечена, но работать филиалы пока не могут – не настроена маршрутизация.
Тут для каждого протокола свои всплывают тонкости.
Давайте рассмотрим процесс настройки OSPF, для примера.
Поскольку мы имеем широковещательную L2 сеть на туннельных интерфейсах, указываем явно тип сети Broadcast на туннельных интерфейсах на всех узлах:

ip ospf network broadcast

Кроме того в такой сети должен выбираться DR. Логично, чтобы им стал хаб. Всем Spoke-маршрутизаторам запрещаем участие в выборах DR:

ip ospf priority 0

Ну и, естественно, определяем анонсируемые сети.

router ospf 1
network 172.16.0.0 0.0.255.255 area 0

Сети анонсируются:

msk-arbat-gw1#sh ip route
Gateway of last resort is 198.51.100.1 to network 0.0.0.0
172.16.0.0/16 is variably subnetted, 7 subnets, 3 masks
C 172.16.2.128/30 is directly connected, FastEthernet0/1.8
C 172.16.255.1/32 is directly connected, Loopback0
C 172.16.254.0/24 is directly connected, Tunnel0
C 172.16.2.32/30 is directly connected, FastEthernet0/1.7
C 172.16.2.16/30 is directly connected, FastEthernet0/1.5
C 172.16.2.0/30 is directly connected, FastEthernet0/1.4
O 172.16.255.128/32 [110/11112] via 172.16.254.2, 00:05:14, Tunnel0
198.51.100.0/28 is subnetted, 1 subnets
C 198.51.100.0 is directly connected, FastEthernet0/1.6
S* 0.0.0.0/0 [1/0] via 198.51.100.1

Пинг проходит

msk-arbat-gw1#ping 172.16.255.128
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.255.128, timeout is 2 seconds:
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 60/70/80 ms

Вот так выглядят пакеты, передающиеся через сеть Интернет: * Дамп с nsk-obsea-gw1 fa0/0
Проверяем, как у нас проходит пинг от одного филиала до другого:

nsk-obsea-gw1#ping 172.16.255.132
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.255.132, timeout is 2 seconds:
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 132/231/492 ms
nsk-obsea-gw1#traceroute 172.16.255.132
Type escape sequence to abort.
Tracing the route to 172.16.255.132
1 172.16.254.3 240 msec * 172 msec
nsk-obsea-gw1#sh ip nhrp br
Target Via NBMA Mode Intfc Claimed
172.16.254.1/32 172.16.254.1 198.51.100.2 static Tu0 < >
172.16.254.3/32 172.16.254.3 198.51.102.2 dynamic Tu0 < >

Как видите пакеты не заходят на хаб, а идут напрямую сразу на маршрутизатор другого филиала через Интернет. Но действительность несколько сложнее.
Что происходит в этот момент?
1) Отправляем пинг на адрес Loopback-интерфейса в Томске
2) Согласно таблице маршрутизации, следующий хоп

nsk-obsea-gw1#sh ip route 172.16.255.132
Routing entry for 172.16.255.132/32
Known via «ospf 1», distance 110, metric 11112, type intra area
Last update from 172.16.254.3 on Tunnel0, 00:18:47 ago
Routing Descriptor Blocks:
* 172.16.254.3, from 172.16.255.132, 00:18:47 ago, via Tunnel0
Route metric is 11112, traffic share count is 1

Это адрес из сети, непосредственно подключенной к интерфейсу Tunnel 0

nsk-obsea-gw1#sh ip route 172.16.254.3
Routing entry for 172.16.254.0/24
Known via «connected», distance 0, metric 0 (connected, via interface)
Routing Descriptor Blocks:
* directly connected, via Tunnel0
Route metric is 0, traffic share count is 1

3) Согласно настройкам интерфейса здесь используется NHRP. Смотрим таблицу соответствия, полученную от хаба

nsk-obsea-gw1#sh ip nhrp brief
Target Via NBMA Mode Intfc Claimed
172.16.254.1/32 172.16.254.1 198.51.100.2 static Tu0 < >

Как видите, адрес 172.16.254.3 nhrp неизвестен.
Поэтому пакет ICMP отправляется на статически настроенный хаб – 198.51.100.2:
msk-arbat-gw1, fa0/1: А хаб сразу же перенаправляет запрос на нужный адрес:
msk-arbat-gw1, fa0/1: 4) Одновременно с этим маршрутизатор-клиент в Новосибирске отправляет NHRP-запрос, мол кто укрывает адрес 172.16.254.3:
msk-arbat-gw1, fa0/1: 5) Хаб обладает этим знанием:

msk-arbat-gw1#sh ip nhr br
Target Via NBMA Mode Intfc Claimed
172.16.254.2/32 172.16.254.2 198.51.101.2 dynamic Tu0 < >
172.16.254.3/32 172.16.254.3 198.51.102.2 dynamic Tu0 < >

И отправляет эту информацию в NHRP-ответе: msk-arbat-gw1, fa0/1: Больше Хаб не встревает в разговор двух споков.
6) ICMP запрос пришёл в Томск:
tmsk-lenina-gw1, fa0/0: Несмотря на то, что во внешнем заголовке IP адрес источника – это адрес хаба, внутри фигурирует изначальный адрес Новосибирского маршрутизатора:
7)Томск тоже пока не знает ничего об адресе 172.16.254.2, пославшем ICMP-запрос.

tmsk-lenina-gw1(config-if)#do sh ip nh br
Target Via NBMA Mode Intfc Claimed
172.16.254.1/32 172.16.254.1 198.51.100.2 static Tu0 < >

Поэтому ICMP-ответ он отправляет тоже на хаб:
tmsk-lenina-gw1, fa0/0: 8) Следом за ним он интересуется о публичном адресе отправителя:
tmsk-lenina-gw1, fa0/0: 9)Ну и хаб, естественно, отвечает:
tmsk-lenina-gw1, fa0/0: 10) Сейчас на всех узлах актуальная информация NHRP:

msk-arbat-gw1(config-if)#do sh ip nhr br
Target Via NBMA Mode Intfc Claimed
172.16.254.2/32 172.16.254.2 198.51.101.2 dynamic Tu0 < >
172.16.254.3/32 172.16.254.3 198.51.102.2 dynamic Tu0 < >

nsk-obsea-gw1(config-if)#do sh ip nhr br
Target Via NBMA Mode Intfc Claimed
172.16.254.1/32 172.16.254.1 198.51.100.2 static Tu0 < >
172.16.254.3/32 172.16.254.3 198.51.102.2 dynamic Tu0 < >

tmsk-lenina-gw1(config-if)#do sh ip nh br
Target Via NBMA Mode Intfc Claimed
172.16.254.1/32 172.16.254.1 198.51.100.2 static Tu0 < >
172.16.254.2/32 172.16.254.2 198.51.101.2 dynamic Tu0 < >

Как видите, распространение происходит не автоматически, а по запросу, причём инициаторами являются только клиенты, потому что фактически, только они знают, куда обращаться (хаб изначально не знает о клиентах ничего)
11) Следующий ICMP-запрос он уже отправит по-новому:

nsk-obsea-gw1#sh ip route 172.16.255.132
Routing entry for 172.16.255.132/32
Known via «ospf 1», distance 110, metric 11112, type intra area
Last update from 172.16.254.3 on Tunnel0, 00:20:24 ago
Routing Descriptor Blocks:
* 172.16.254.3, from 172.16.255.132, 00:20:24 ago, via Tunnel0
Route metric is 11112, traffic share count is 1

Подсеть 172.16.254.0 подключена к интерфейсу Tunnel 0

nsk-obsea-gw1#sh ip route 172.16.254.3
Routing entry for 172.16.254.0/24
Known via «connected», distance 0, metric 0 (connected, via interface)
Routing Descriptor Blocks:
* directly connected, via Tunnel0
Route metric is 0, traffic share count is 1

12) Мы немного повторяемся, но… Интерфейс Tunnel 0 является mGRE и согласно таблицы NHRP весь трафик, для которого следующим хопом является 172.16.254.3 должен быть инкапсулирован в GRE и внешний IP-заголовок с адресом назначения 198.51.102.2 (В качестве адреса источника будет выбран адрес физического интерфейса – 198.51.101.2):

nsk-obsea-gw1(config-if)#do sh ip nhr br
Target Via NBMA Mode Intfc Claimed
172.16.254.1/32 172.16.254.1 198.51.100.2 static Tu0 < >
172.16.254.3/32 172.16.254.3 198.51.102.2 dynamic Tu0 < >

tmsk-lenina-gw1, fa0/0: 13) Ну и дальше пакет с адресом получателя 198.51.102.2 отправляется согласно таблице маршрутизации:

Gateway of last resort is 198.51.101.1 to network 0.0.0.0

Тут важно понимать, что несмотря на то, что общение между филиалами осуществляется в обход центрального узла, хаб однако несёт тут жизненно важную вспомогательную функцию и без него ничего работать не будет: он предоставляет клиентам таблицу NHRP, а также анонсирует все маршруты – филиалы распространяют маршрутную информацию не непосредственно друг другу, а через хаб.
Актуальная на данный момент конфигурация узлов:

msk-arbat-gw1
interface Tunnel0
ip address 172.16.254.1 255.255.255.0
no ip redirects
ip nhrp map multicast dynamic
ip nhrp network-id 1
ip ospf network broadcast
ip ospf priority 10
tunnel source FastEthernet0/1.6
tunnel mode gre multipoint

nsk-obsea-gw1
interface Tunnel0
ip address 172.16.254.2 255.255.255.0
no ip redirects
ip nhrp map 172.16.254.1 198.51.100.2
ip nhrp map multicast 198.51.100.2
ip nhrp network-id 1
ip nhrp nhs 172.16.254.1
ip ospf network broadcast
ip ospf priority 0
tunnel source FastEthernet0/0
tunnel mode gre multipoint

tmsk-leneina-gw1
interface Tunnel0
ip address 172.16.254.3 255.255.255.0
no ip redirects
ip nhrp map 172.16.254.1 198.51.100.2
ip nhrp map multicast 198.51.100.2
ip nhrp network-id 1
ip nhrp nhs 172.16.254.1
ip ospf network broadcast
ip ospf priority 0
tunnel source FastEthernet0/0
tunnel mode gre multipoint
end

На данный момент решены следующие проблемы:
1) Связность. Филиалы подключены и доступны.
2) Маршрутизация. Через mGRE туннели успешно запущены IGP.
3) Масштабируемость. При добавлении нового spoke-маршрутизатора настраивается только он сам и нет необходимости лезть в конфигурацию уже существующих узлов.
4) Разгрузили хаб – через него передаётся только служебный трафик.
Осталось уладить вопрос с безопасностью.

IPSec

Решается это как и прежде – шифрованием.
Если для Site-to-Site VPN мы ещё могли использовать pre-shared key, потому что мы жёстко задавали адрес IPSec-пира, то в случае DMVPN нам нужна гибкость, а заранее мы не знаем адреса соседей. В связи с этим рекомендуется использование сертификатов. На xgu есть хорошая статья по центру сертификатов на cisco.
Но мы для упрощения возьмём всё же настройку с pre-shared ключом.

crypto isakmp policy 1
authentication pre-share

От рассмотренных выше Tunnel Protection и VTI она будет отличаться использованием шаблонного адреса:

crypto isakmp key DMVPNpass address 0.0.0.0 0.0.0.0

Опасность здесь в том, что установить IPSec-сессию с хабом, зная ключ, может любое устройство
Тут можно спокойно использовать транспортный режим:

crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
mode transport
crypto ipsec profile DMVPN-P
set transform-set AES128-SHA

Далее созданный профиль применяется на туннельный интерфейс. Настройка на всех узлах одинаковая.

interface Tunnel0
tunnel protection ipsec profile DMVPN-P

Теперь пакеты, передающиеся через Интернет будут зашифрованы:
msk-arbat-gw1, fa0/1: Только не вздумайте поставить tunnel mode ipsec ipv4 🙂
IPSec-туннели и карты шифрования будут создаваться динамически для сеансов передачи данных между филиалами и будут перманентными для каналов Hub-Spoke.

NAT-Traversal

Тут мы не будем вдаваться в принципы работы NAT-T Передам только суть: за счёт дополнительного UDP-заголовка IPSec может строить туннель сквозь NAT. Это позволяет строить VPN даже на тех узлах, где у вас нет публичного адреса.
Нет необходимости этот функционал каким-то особым образом активировать и настраивать – он работает по умолчанию.
Усложним схему добавлением ещё одного маршрутизатора в Брно. Допустим, это провайдерская железка, осуществляющая натирование. То есть фактически на роутере в филиале у нас будет динамический адрес из приватного диапазона на физическом интерфейсе. GRE в чистом виде не может построить VPN при таких условиях, IPSec может, но сложно настраивать. mGRE в связке с IPSec может легко!
Давайте посмотрим как выглядит таблица NHRP в этом случае:

msk-arbat-gw1#show ip nhrp brief
Target Via NBMA Mode Intfc Claimed
172.16.254.4/32 172.16.254.4 10.0.0.2 dynamic Tu0 < >

То есть изучил он всё-таки приватный адрес, выделенный провайдером.
Надо заметить, что в таблице маршрутизации должен быть маршрут до этого приватного адреса, выданного провайдером в филиале, пусть даже дефолтный.
На туннельном интерфейсе у нас активирован IPSec, следовательно должны быть карты шифрования:

msk-arbat-gw1#show crypto map
Crypto Map «Tunnel0-head-0» 65537 ipsec-isakmp
Map is a PROFILE INSTANCE.
Peer = 198.51.103.2
Extended IP access list
access-list permit gre host 198.51.100.2 host 10.0.0.2
Current peer: 198.51.103.2
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
AES128-SHA,
}
Interfaces using crypto map Tunnel0-head-0:
Tunnel0

Таким образом шифрованный туннель строится между 198.51.100.2 и 198.51.103.2, дальше, данные по-прежнему шифрованные за счёт NAT-T в туннеле идут до 10.0.0.2. А дальше вы уже знаете.
Толковая подробная статья по NHRP.
=====================
Задача №6
Начальная конфигурация: «DMVPN»
Сценарий:
Сеть DMVPN была полностью работоспособной, всё работало корректно.
Но после перезагрузки хаба msk-arbat-gw1 началось странное поведение.
Задание:
1. Проверить работоспособность сети.
2. Перезагрузить хаб
3. После перезагрузки проверить работоспособность сети ещё раз
4. Устранить проблему:
4.1. (минимум) Сделать сеть снова работоспособной
4.2. Сделать так, чтобы сеть восстанавливалась автоматически, после того как хаб снова появится.
Подробности задачи тут
=====================

TShoot IPSec

На последок хочется сказать пару слов о том, как решать проблемы с IPSec. Процедура-то далеко не тривиальная.
При траблшутинге VPN огромную роль играют дебаги. Метод пристального взгляда на конфиг менее надежен – легко пропустить небольшую ошибку.
Исключительно ценным инструментом в траблшутинге IPSec является sh crypto ipsec sa. Нет, дело даже не в бинарном «поднялось — не поднялось», а в счетчиках, в первую очередь encaps-decaps. Можно пустить непрерывный пинг и наблюдать, какой из счетчиков растет. Большинство проблем удается локализовать именно таким образом.
Счетчики вообще не растут? См. куда применен крипто мап и все ли в порядке с ACL.
Растут error? Что-то не так с согласованием, см. дебаг.
Растут encaps, но нет decaps? Вперед изучать противоположную сторону туннеля, тут все хорошо.

MTU

Напоследок обсудим один коварный момент – размер MTU. В жизни каждого системного/сетевого администратора наступает момент, когда симптомы проблемы таковы: открывается яндекс, работает пинг, но ни один другой сайт не доступен и Outlook не коннектится.
Дьявол кроется в размере MTU и наличии дополнительных заголовков.
MTU – Maximum Transmission Unit. Это максимальный размер блока данных, который может быть передан через интерфейс. Это понятие находится на пересечении L2 и L3 и его интерпретация может различаться для разных вендоров.
Например, типичный размер MTU для физического L3-интерфейса 1500. То есть, грубо говоря, IP-пакет размером 1500 байт будет обработан, а 1501 – отброшен или фрагментирован. Зачастую фрагментация пакетов запрещена, и потому большие пакеты отбрасываются.
Если вы используете туннелирование, размер пакета увеличивается засчёт дополнительных заголовков (GRE, IPSec и т.д.)
Например, для GRE: 24 байта (GRE, Новый IP).
Для GRE over IPSec: 56 и более байтов (зависит от режима работы и типа шифрования)
Для PPPoE: 36 (PPP, PPPoE, Ethernet)
Сам туннельный интерфейс имеет стандартный MTU 1514 и пропускает такие пакеты, но у провайдера на физическом интерфейсе стоит MTU=1500, и на нём пакет будет отброшен:

R1#sh int tun 0
Tunnel0 is up, line protocol is up
Hardware is Tunnel
Internet address is 10.2.2.1/30
MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,
R1#sh int fa0/1
FastEthernet0/1 is administratively down, line protocol is down
Hardware is Gt96k FE, address is c000.19ac.0001 (bia c000.19ac.0001)
MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec,

То есть вы должны учитывать не только свои настройки, но и настройки всех промежуточных узлов.
Зачастую у вас нет возможности влиять на MTU по пути.
Поэтому вы можете уменьшить MTU, на локальной стороне, использовать механизм Path MTU Discovery или даже настраивать MSS – Maximum Segment Size (относится уже к TCP).
Подробнее о проблемах с MTU читайте тут и тут
Для всевозможных туннелей это совершенно типичная проблема.
Почему же работают пинг и яндекс?
Пакеты ICMP Request и Relpy имеют размер от 32 до 64 байтов, ya.ru возвращает очень мало информации, которая вполне укладывается в допустимый размер 1500 вместе со всеми заголовками.
P.S.К сожалению, незатронутыми остались следующие небезынтересные темы:
Полностью пролетели мимо темы удалённого доступа для сотрудников.
Кроме того очень актуальна сейчас тема FlexVPN. Это новый виток развития VPN-технологий. Но использует IKE версии 2 и поддерживается в данный момент, как обычно только оборудованием cisco. Нам бы действительно хотелось уделить внимание и этим и тем и вот ещё тем темам, но всё уложить в рамки одной статьи невозможно.

Материалы выпуска

IP план
Конфигурация устройств GRE, IPSec, GRE over IPSec, VTI, DMVPN)

Полезные ссылки

IPSec
www.firewall.cx/networking-topics/protocols/870-ipsec-modes.html
www.tcpipguide.com/free/t_IPSecModesTransportandTunnel.htm
DMVPN
www.anticisco.ru/blogs/?tag=dmvpn
xgu.ru/wiki/%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0_DMVPN_%D0%BD%D0%B0_%D0%BC%D0%B0%D1%80%D1%88%D1%80%D1%83%D1%82%D0%B8%D0%B7%D0%B0%D1%82%D0%BE%D1%80%D0%B0%D1%85_Cisco
NHRP.
habrahabr.ru/post/84738/
blog.ine.com/tag/nhrp/
FlexVPN.
www.cisco.com/en/US/docs/ios-xml/ios/sec_conn_ike2vpn/configuration/15-2mt/sec-intro-ikev2-flex.html
habrahabr.ru/post/160555/
alexandremspmoraes.wordpress.com/2012/06/28/hello-world-simple-lan-to-lan-flex-vpn-configuration/
alexandremspmoraes.wordpress.com/2012/07/02/flex-vpn-sample-lan-to-lan-configuration-with-dynamic-routing/
За мозгодробительные задачки спасибо Наташе.
За комментарии и помощь спасибо Дмитрию.
Статью для вас подготовили eucariot и gluck

А на прошлой неделе вышел нулевой выпуск подкаста для связистов.

125 коментариев

Ещё статьи

Задача №6.1

К выпуску №6.Между маршрутизаторами в Питере надо уменьшить время обнаружения пропажи соседа. Маршрутизаторы должны отправлять сообщения Hello каждые 3 секунды, и считать друг друга недоступными, если 12 секунд не было …

Книга «Где сохранить пакет»

В течение многих лет читатели писали с предложением собрать СДСМ в книгу. Я кивал головой и обещал когда-то этим заняться. Так вот, теперь ответственно и бесповоротно заявляю, что книги СДСМ …

linkmeetup

Теперь официально, аж пенсне поправить хочется: 1 июля состоится грандиозный linkmeetup, который организуем мы. Проекту в этом году исполнится 10 лет. В июне выйдет 100-й выпуск классического подкаста для связистов …

Проект построения VPN между центральным офисом и филиалами

VPN-соединение с удаленными офисами и создание защищенной отказоустойчивой схемы. Бесперебойная связь с филиалами в круглосуточном режиме.

Исходные данные проекта

  • Заказчик: корпоративный клиент с филиальной структурой, центральный офис + 7 удаленных филиалов.
  • Топология построения сети: звезда (филиалы работают через головной офис).
  • Основной канал: оптоволокно, скорость до 200 Мбит/с.
  • Резервный канал: витая пара, скорость до 100 Мбит/с.

Постановка задачи

Настроить VPN-соединения с удаленными офисами и создать защищенную отказоустойчивую схему, при которой связь с филиалами обеспечивается бесперебойно в круглосуточном режиме.

Подбор оборудования

и настройка

В качестве центрального маршрутизатора был выбран MikroTik CCR1009-7G-1C-1S+, с двумя блоками питания и возможностью резервирования по POE. Удаленные филиалы были оснащены «младшими» моделями — MikroTik RB3011UIAS-RM, имеющими резервирование питания по POE. На центральном маршрутизаторе MikroTik CCR1009-7G-1C-1S+, технические специалисты SPW выполнили настройку основного и резервного каналов Интернет. Также были построены семь шифрованных VPN-каналов между головным и филиальными маршрутизаторами..

Схема построения

VPN-тоннелей между
филиалами

Результат выполнения проекта

По итогу выполнения проекта Заказчик получил:

  • Надежное оборудование MikroTik, подобранное согласно заявленным требованиям;
  • Резервирование каналов Интернет в центральном офисе, с автоматическим переключением на резервный канал, при падении основного канала и обратным переключением, в случае восстановления основного канала;
  • Резервирование оборудования по питанию в филиалах и двойное резервирование в центральном офисе;
  • Надежность передачи информации благодаря алгоритму шифрования VPN-каналов AES-128.

Хотите обсудить похожий проект?
Отправьте запрос менеджеру

VPN, Proxy, TOR — как всегда оставаться анонимным в интернете? — Гайды на DTF

Здравствуйте многоуважаемые пользователи DTF! Сегодня я решил поведать вам о такой интересной вещи как анонимность в интернете, расскажу простым языком про ВПН, Прокси и конечно-же луковичное шифрование TOR.

{«id»:664163,»type»:»num»,»link»:»https:\/\/dtf.ru\/howto\/664163-vpn-proxy-tor-kak-vsegda-ostavatsya-anonimnym-v-internete»,»gtm»:»»,»prevCount»:null,»count»:81,»isAuthorized»:false}

{«id»:664163,»type»:1,»typeStr»:»content»,»showTitle»:false,»initialState»:{«isActive»:false},»gtm»:»»}

{«id»:664163,»gtm»:null}

12 017 просмотров

Прокси-сервер

Прокси сервер — это такой-себе посредник между вами и тем сервером, к которому вы подключаетесь. Представим картину:Вы подключаетесь напрямую к сайту, он получает ваш IP и заносит к себе в базу. Мы как анонимные пользователи потерпеть такого не можем, поэтому нам нужен компьютер, который станет посредине нашего запроса. Именно этот компьютер и называется Прокси-сервером.

Схема работы прокси сервера Corry

Вроде-как звучит идеально, мы не распространяем свой IP, следовательно правоохранительные органы не смогут нас найти и отправить на нары за наши лихие деяния, но как бы не так. При работе с прокси есть 2 достаточно значительных минуса, которые заставляют подумать еще немного о своей безопасности:

  • Прокси трафик никак не шифруется.
  • А кто вам сказал, что владелец сервера при первом звоночке от ФСБ не расскажет все что о вас знает?

Может-быть меня заплюют, но я считаю, что прокси в одиночку никак не защищает вас. В любом случае обойти какой-то запрет, допустим зайти во ВКонтакте в Украине станет реально, но что-бы по-настоящему защитить себя одного прокси мало.

VPN — Грубо говоря — уже куда более безопасный вариант. ВПН всегда шифрует все ваши соединения, никому не будет известен ваш настоящий IP-Адрес, но встает все та-же проблема! Откуда мы знаем, что создатель сервера не сольет наши данные в ФСБ? Все-равно, использование ВПН куда более безопасно чем использование Прокси, за счет шифрования трафика.Спойлер: Наглядная схема работы ВПН.

Наглядная схема работы VPN Corry

В любом случае, связка ВПН+Прокси уже куда-более надежная. Скорее всего вас не найдут, разве что вам ну уж очень не повезет ни с ВПН, ни с Прокси, хотя давайте будем реалистами, в наших странах полиция не ищет мелких мошенников, а если и ищет, то это одинокие случаи ( Даже палка стреляет раз в год ).Наконец мое любимое.Луковичная маршрутизация TOR.TOR — былразработан военными СШАв конце 90х. Суть тора в следующем:Давайте вместе представим, что такое луковица? Да, я серьезно, просто представь её. Тор — примерно тоже самое, в начале вашего пути к серверу вы шифруете ваш запрос много-много раз, потом он отсылается к одному из сетевых узлов, где каждый из этих узлов удаляет слой шифрования и так пока запрос не будет расшифрован полностью.

Схема работы Tor Corry

Из минусов могу выделить скорость работы интернета и наличие костылей, но система сама по себе гениальна.Давайте теперь быстренько пробежимся по различным решениям, которые по идее должны обеспечить нашу анонимность.

  • Прокси — как я уже говорил выше — прокси не является 100% защитой вашей анонимности, вы можете спрятать ваш IP, но поможет ли спрятанный IP если за вас хорошенько возьмутся? Сомневаюсь.
  • Прокси + ВПН — уже получше, но так-же не гарантирует вашу безопасность на все 100%.
  • Прокси + ВПН + TOR — выглядит шикарно. Как по мне схема бронетанковая.

И так друзья! Если у вас остались какие-то вопросы — пишите! Я с радостью на них отвечу, так-же хочу напомнить — НИКАКИЕ СПОСОБЫ НЕ УБЕРЕГУТ ВАС ОТ НАКАЗАНИЯ, ЗА КАЖДОЕ НАРУШЕНИЕ РАНО ИЛИ ПОЗДНО ПРИДЕТ ПОСЛЕДСТВИЕ, СТАТЬЯ НАПИСАНА В ОБРАЗОВАТЕЛЬНЫХ ЦЕЛЯХ, И ИСПОЛЬЗОВАТЬ ИХ ДЛЯ ПОПЫТКИ УХОДА ОТ ЗАКОНА ИЛИ ЕГО НАРУШЕНИЯ НА СВОЮ ОТВЕТСТВЕННОСТЬ. Критика и похвала тоже приветствуется. Спасибо что уделили время и прочли мою статью, надеюсь что-нибудь новое вы для себя усвоили! Всем продуктивного дня!

Что такое Site-to-Site VPN?

Виртуальная частная сеть (VPN) типа «сеть-сеть» — это соединение между двумя или более сетями, такими как корпоративная сеть и сеть филиала. Многие организации используют VPN типа «сеть-сеть», чтобы использовать интернет-соединение для частного трафика в качестве альтернативы использованию частных каналов MPLS.

VPN типа «сеть-сеть» часто используются компаниями с несколькими офисами в разных географических точках, которым необходимо постоянно получать доступ к корпоративной сети и использовать ее.С помощью VPN типа «сеть-сеть» компания может безопасно соединить свою корпоративную сеть со своими удаленными офисами, чтобы взаимодействовать и обмениваться с ними ресурсами как с единой сетью.


Рис. 1. Пример VPN типа «сеть-сеть»

Виртуальные частные сети типа «сеть-сеть» и виртуальные частные сети удаленного доступа могут звучать одинаково, но они служат совершенно разным целям.

  • Сеть VPN — это постоянное соединение, предназначенное для работы в качестве зашифрованной связи между офисами (т. е. «сайтами»).Обычно это устанавливается как сетевое соединение IPsec между сетевым оборудованием.
  • VPN удаленного доступа — это временное соединение между пользователями и штаб-квартирой, обычно используемое для доступа к приложениям центра обработки данных. Это соединение может использовать IPsec, но также часто используется SSL VPN для установки соединения между конечной точкой пользователя и VPN-шлюзом.

Почему VPN типа «сеть-сеть» уже недостаточно

Компании традиционно использовали виртуальные частные сети «сеть-сеть» для подключения своей корпоративной сети и удаленных филиалов по топологии «звезда».Этот подход работает, когда у компании есть собственный центр обработки данных, высокочувствительные приложения или минимальные требования к пропускной способности. Однако теперь, когда большинство компаний переместили свои приложения и данные в облако и имеют большое количество мобильных сотрудников, пользователям больше не имеет смысла проходить через собственный центр обработки данных, чтобы попасть в облако, когда вместо этого они могут перейти в облако напрямую.

Следовательно, компаниям необходимо настроить топологию сети с доступом к облаку или приложениям центра обработки данных.Это побуждает организации создавать сетевые архитектуры, которые не зависят от возврата всего трафика в штаб-квартиру.

SASE: современное решение для подключения удаленных офисов

Более поздняя модель кибербезопасности, называемая границей службы безопасного доступа (SASE; произносится как «дерзкий»), предоставляет необходимые компаниям сетевые услуги и услуги сетевой безопасности непосредственно через облачную инфраструктуру. Кроме того, SASE предлагает множество возможностей безопасности, таких как расширенное предотвращение угроз, предотвращение кражи учетных данных, веб-фильтрация, песочница, безопасность DNS, предотвращение потери данных (DLP) и другие на одной облачной платформе.

Это позволяет компаниям легко подключать свои удаленные офисы; безопасно направлять трафик в общедоступные или частные облака, приложения «программное обеспечение как услуга» (SaaS) или в Интернет; а также управлять и контролировать доступ.

Преимущества

Некоторые из преимуществ использования SASE заключаются в том, что он позволяет компаниям: 

  • Предоставьте филиалам и розничным магазинам доступ к облаку или центру обработки данных.
  • Быстро идентифицировать пользователей, устройства и приложения.
  • Последовательно применяйте политики безопасности в нескольких местах и ​​применяйте доступ с минимальным уровнем привилегий.
  • Значительно упростить свою ИТ-инфраструктуру и сократить расходы, поскольку они могут использовать одно облачное решение вместо того, чтобы покупать и управлять несколькими точечными продуктами.

Щелкните здесь, чтобы получить дополнительную информацию об охране филиалов и розничных магазинов.

Дополнительные ресурсы

Лучший VPN-сервис 2022 года

  • Весь смысл VPN заключается в том, чтобы обеспечить вашу безопасность, когда вы находитесь в сети, и VPN не могут быть намного безопаснее, чем NordVPN.Компания не только использует самые лучшие функции безопасности, такие как шифрование AES-256 и протокол OpenVPN, но и предлагает дополнительные функции, которые вы не найдете в других VPN. Например, все IP-адреса NordVPN являются динамическими. При многоскачковом соединении пользователя маршрутизируются не через один зашифрованный туннель, а через несколько зашифрованных туннелей. Кроме того, NordVPN имеет строгую политику регистрации и находится в Панаме, стране, не входящей в альянсы Five Eyes, Nine Eyes и 14 Eyes.Если вы хотите избежать правительственного шпионажа или хакеров, NordVPN поможет вам.

    Что нам нравится
    • Не член пятиглазой, девятиглазой и четырнадцатиглазой
    • Доступ к Netflix
    • Строгая политика ведения журнала
    • Высокий рейтинг приложения
    Что нам не нравится
    • Статические IP-адреса
    • Труднодоступная служба поддержки
    • Переключатель экстренного отключения не отключает все приложения с приложением iOS
    • Ограниченная поддержка торрентов
    Скриншот приложения NordVPN для Mac

    Доступ к Netflix

    Нам нравилось смотреть Netflix из других стран на NordVPN; Знаете ли вы, что варианты телешоу и фильмов различаются в зависимости от того, где вы смотрите? NordVPN позволяет нам смотреть Netflix на компьютерах с Linux, Mac или Windows.Или, если вы хотите смотреть на ходу, как мы, делайте это на устройствах Android или iOS; он также работает на смарт-телевизорах и телевизионных устройствах. Но обратите внимание, что Netflix работает только на серверах из США, Японии, Великобритании, Нидерландов или Японии, поэтому он может не работать для всех пользователей.

    Двойное шифрование

    В нашем полном обзоре NordVPN мы углубимся в его методы шифрования. Одна из вещей, которые нам больше всего понравились в NordVPN, — это использование двойного VPN, что означает, что наш веб-трафик был зашифрован не один раз, а дважды через несколько серверов.Это идеально подходит для тех, кто очень заботится о конфиденциальности; активисты, блогеры, журналисты или все, кто работает в местах, наполненных слежкой и цензурой, мы обращаемся к вам!

    Низкие цены

    По цене 11,99 долларов в месяц NordVPN был не самым дешевым VPN, который мы тестировали, но мы смогли разблокировать удивительные скидки, просто подписавшись на целый год. При годовой оплате NordVPN стоит всего 4,99 доллара в месяц, всего 59,88 доллара за весь год. Ежемесячная ставка снижается до 3 долларов.99 с двухлетним планом. Учитывая, насколько хорош VPN NordVPN, от этой цены трудно отказаться.

  • Surfshark позволил нам легко скачивать и скачивать фильмы и телепередачи через торренты, не опасаясь возмездия. С неограниченным количеством устройств на подписку эта VPN давала нам разные IP-адреса каждый раз, когда мы подключались, что значительно усложняло отслеживание; однако, если мы хотели придерживаться одного и того же IP-адреса, это тоже был вариант.Кроме того, Surfshark базируется в стране, не являющейся членом Five Eyes, Nine Eyes и 14 Eyes, и позволяет использовать Netflix в дополнение к торрентам.

    Что нам нравится
    • Находится на Виргинских островах вне альянсов по наблюдению
    • Неограниченное количество устройств на подписку
    • Низкая стоимость с годовой или двухлетней подпиской
    • 30-дневный пробный период
    Что нам не нравится
    • Нет поддержки по телефону
    • Необходимо вручную настроить переключатель уничтожения в Windows
    • .
    • Статические IP-адреса
    • Не самый быстрый
    Surfshark – Cleanweb

    Виргинские острова Местоположение

    Компания Surfshark, базирующаяся на Виргинских островах, никогда не будет вынуждена передавать данные клиентов, поскольку эти острова не являются членами Five Eyes, Nine Eyes и 14 Eyes.Хотя Виргинские острова являются территорией Соединенного Королевства, они являются самоуправляемыми и имеют свои собственные законы. Кроме того, у них нет собственных законов о хранении данных, а слежка незаконна, даже если слежкой занимается правительство. Честно говоря, по нашему скромному мнению, Британские Виргинские острова — идеальное место для создания VPN-компании.

    Международные серверы

    Хотя мы подключились к Surfshark только из старых добрых США, у них есть варианты в более чем 60 странах, от Вьетнама до Албании.В США серверы есть более чем в 20 городах, включая Лос-Анджелес, Чикаго, Даллас, Бостон; вы получаете картину. Чем ближе вы к серверу, тем лучше ваше соединение. С Surfshark мы остались более чем довольны.

    Потоковые сервисы

    Ни для кого не секрет, что мы любим стриминг, и Surfhsark хорош тем, что нам не нужно пробовать кучу разных серверов для стриминга на разных платформах. Приведем пример. Мы очень хотели посмотреть «Сокровище нации» на Disney+ по очевидным причинам, связанным с Ником Кейджем.Обычно с VPN нам приходится пытаться подключиться с нескольких разных серверов, прежде чем мы найдем тот, который служба потоковой передачи не заблокировала, но Surfshark действительно сделал это за нас, автоматически найдя правильный сервер для нужной службы потоковой передачи. Помимо Disney+, мы также транслировали с Netflix, Hulu, HBO Max, Spotify и Youtube, хотя VPN работает с еще большим количеством сервисов. Узнайте больше о лучших VPN для Youtube TV. Surfshark также работает с Apple TV, что делает его одним из лучших VPN для Apple TV.

  • 3. VPN с частным доступом в Интернет

    Если у вас есть компьютер с Windows, не ищите ничего, кроме частного доступа в Интернет. Мы получили очень высокую скорость, когда тестировали его на нашем Vivobook, но у него также есть отличные приложения для устройств iOS и Android. Кроме того, мы были довольны их политикой конфиденциальности, которая очень строгая. Компанию даже никогда не просили передать пользовательские данные, не то чтобы у них было что-то передавать, даже если бы они были.По словам основателя, «Мы не логируем, и точка». Тем не менее, компания базируется в Денвере, так что об этом следует помнить, поскольку Соединенные Штаты являются членами Five Eyes, Nine Eyes и 14 Eyes.

    Что нам нравится
    • Строгая политика ведения журнала
    • Быстро на Windows
    • Высокие отзывы о приложении
    • Доступ к Netflix
    Что нам не нравится
    • Базируется в США
    • Раздельное туннелирование недоступно для iPhone
    • Медленно работает на Mac
    Подключение к частному доступу в Интернет

    Параметры шифрования

    Большинство VPN не давали нам большого выбора, когда речь шла о методах шифрования, режимах аутентификации и рукопожатиях, но частный доступ в Интернет фактически позволял нам настраивать работу их VPN.У нас было четыре варианта: по умолчанию, рекомендуемая защита, вариант, больше ориентированный на скорость, вариант, больше ориентированный на безопасность, и вариант вообще без аутентификации. Хотя мы выбрали рекомендуемый вариант, мы могли видеть, что другие варианты будут полезны, если нас не беспокоят скорость или безопасность.

    Динамические IP-адреса

    Мы получали новый IP-адрес каждый раз, когда подключались к частному доступу в Интернет, что определенно предпочтительнее статических IP-адресов.Из-за этого нас было труднее отследить, что обеспечило нашу анонимность в сети. Думайте об этом, как о ношении маски; если бы вы каждый раз надевали одну и ту же маску, люди в конечном итоге начали бы понимать вашу личность. Благодаря частному доступу в Интернет мы получали новую маску каждый раз, когда входили в систему, что заставляло потенциальных хакеров гадать.

  • IPVanish обладает всеми функциями, которые вы ожидаете от VPN высшего уровня, такими как надежное шифрование, высокая скорость и дополнительные функции, такие как раздельное туннелирование.Что отличает IPVanish от других компаний, так это ее приверженность обслуживанию клиентов. Мы не можем передать вам, с какими трудностями мы иногда сталкиваемся с тем, чтобы заставить компании отвечать на наши технические вопросы. Многие виртуальные частные сети не предлагают поддержку по телефону, и многие из них не предоставляют ответы круглосуточно и без выходных. У IPVanish есть дружелюбные агенты по обслуживанию клиентов, с которыми вы можете поговорить в любое время как по телефону, так и в онлайн-чате. Тем не менее, компания не берет больше, чем другие VPN. Например, годовая подписка стоит всего 3,99 доллара в месяц.

    Что нам нравится
    • Высокая скорость загрузки
    • Торрент
    • Раздельное туннелирование
    • Неограниченное количество подключений
    Что нам не нравится
    • История обмена журналами клиентов
    • Базируется в США
    • Низкая скорость в Windows, но в последнее время стала намного быстрее с протоколом WireGuard
    Приложение IPVanish

    Kill Switch

    Однажды мы использовали IPVanish в библиотеке, и когда соединение не удалось, VPN автоматически закрыла все наши веб-окна, гарантируя, что никто не сможет увидеть наш IP-адрес или веб-трафик.Это было намного лучше, чем альтернатива, хотя нам пришлось заново открывать окна, которые «убил» IPVanish. Конечно, когда мы загружали большие файлы и не хотели, чтобы нас прерывали даже в случае сбоя VPN, у нас была возможность отключить аварийный выключатель.

    Надежная служба поддержки клиентов

    IPVanish также выигрывает, когда дело доходит до помощи клиентам в решении проблем. У них есть не только круглосуточный онлайн-чат и исчерпывающий раздел часто задаваемых вопросов, но и телефонная линия, что является огромной редкостью для VPN-компаний.Мы получили ответы в течение пяти минут, и у других клиентов был такой же опыт, согласно отзывам на Amazon и Trustpilot, четыре из пяти и 4,6 из пяти соответственно.

    Проверенная политика конфиденциальности

    Все VPN, которые мы рассмотрели, имеют политики конфиденциальности, в которых указано, какие типы данных они собирают, почему они собирают эти типы данных и как они используют эти данные. Однако не все из них прошли аудит, как IPVanish. Leviathan Security Group, независимая аудиторская фирма, занимающаяся вопросами безопасности и конфиденциальности, только в этом году провела аудит методов обеспечения конфиденциальности и безопасности IPVanish.Они обнаружили, что утверждение IPVanish о том, что он не регистрирует данные о просмотре и использовании, соответствует действительности. Фирма также определила, что IPVanish не нарушает конфиденциальность своих пользователей, что делает его надежным VPN для пользователей, заботящихся о конфиденциальности.

  • Вы не найдете надежного VPN с более доступной ценой, чем Ivacy. Честно говоря, мы были немного скептичны, когда узнали, что можем получить подписку всего за 1 доллар.19 в месяц. Многие недорогие VPN компенсируют разницу, продавая информацию о клиентах третьим сторонам. Но не Иваси. Мы внимательно изучили их политику конфиденциальности и обнаружили, что они не хранят ничего, связанного с нашей онлайн-деятельностью. Они не хранят IP-адреса, временные метки или историю просмотров. Кроме того, их расположение в Сингапуре означает, что они не входят в альянсы по наблюдению Five Eyes, Nine Eyes и 14 Eyes. Другими словами, их нельзя заставить передать какие-либо данные какому-либо государственному органу.

    Что нам понравилось
    • Раздельное туннелирование
    • Строгая политика ведения журнала
    • Доступные долгосрочные подписки
    • Доступ к Netflix
    Что нам не понравилось
    • Плохое приложение для Mac
    • Kill переключатель только для Mac и Windows
    • Относительно низкая скорость загрузки
    • Находится в Сингапуре, член Five Eyes

    Строгая политика ведения журнала

    Все VPN-компании должны хранить некоторую информацию, хотя бы для ведения бизнеса.Однако Ivacy VPN хранит как можно меньше нашей информации. Да, он сохраняет наш:

    • Имена
    • Электронная почта
    • Способы оплаты
    • Отчеты о сбоях
    • Данные производительности
    • Неудачные попытки подключения
    • Использование приложения
    • Совокупное использование пропускной способности

    Однако без этой информации было бы сложно успешно работать с VPN. Важнее то, что Ivacy VPN не хранит:

    • IP-адреса
    • Просмотр истории
    • Временные метки

    Пока он не отслеживает эти данные, мы чувствуем себя в полной безопасности.

    Ivacy VPN Снимок экрана Windows

    Netflix и другие потоковые сервисы

    Не все понимают, почему VPN может быть так полезен для доступа к Netflix. Конечно, ты можешь скрыть, что ты фанат «Бриджертона». Более того, VPN позволяет вам получать доступ к потоковым библиотекам со всего мира. Оказывается, у Netflix Canada есть несколько наименований, которых у нас в Штатах просто нет. Так же хорошо, когда вы находитесь за границей, вы можете в любое время посетить американскую библиотеку. Кроме того, у нас был доступ к:

    • Прайм Видео
    • Дисней +
    • Хулу
    • Коди
    • Би-би-си

    Много развлечений, все с одним VPN.

    Низкие цены плюс скидки

    Насколько низкими могут быть цены на VPN? Что ж, самый дешевый VPN, который мы тестировали на данный момент, — это Ivacy, с ежемесячной ставкой всего 1,19 доллара. Эта месячная ставка, однако, применима только в том случае, если у вас пятилетний план, поэтому стоит взять на себя обязательство. Если вы хотите зафиксировать подписку только на год, Ivacy стоит 3,99 доллара в месяц. Все еще неплохо.

    Как будто этих цен было недостаточно, Ivacy VPN предлагает множество предложений и скидок в течение всего года, будь то Рождество или Хэллоуин, День подарков или Четвертое июля.В прошлом году на Green Day предлагалась скидка 87%. Это много вариантов экономии.

  • Atlas VPN — относительно новый игрок на рынке VPN, но мы уже впечатлены его возможностями. Мы получили всю безопасность, которую ожидаем от VPN высшего уровня, с шифрованием AES-256 и строгой политикой конфиденциальности. Кроме того, мы получили множество дополнительных возможностей, таких как неограниченное количество одновременных подключений, IP-адреса, которые меняются во время просмотра, и бесплатный монитор утечки данных.Мы прогнозируем, что в ближайшие месяцы и годы вы еще услышите об этой VPN.

    Что нам нравится
    • Доступность
    • Неограниченное количество одновременных подключений
    • Монитор утечки данных
    • Лучший локатор серверов
    Что нам не нравится
    • Не принимает криптовалюту
    • Без многоскачкового
    • Штаб-квартира в США
    • Относительно мало серверов
    Подключен к SafeSwap

    IP-адрес Safeswap

    Мы всегда предпочитаем VPN, использующие динамические, а не статические IP-адреса, поскольку динамические адреса регулярно меняются.Когда наш адрес меняется каждый раз, когда мы входим в систему, нас труднее отследить. Однако Atlas VPN работает лучше, чем динамические адреса. Технология Safeswap компании не просто присваивала нам новый адрес каждый раз, когда мы входили в систему. Мы получали новые адреса по мере просмотра, каждый раз, когда посещали новый сайт. Вы не можете получить гораздо более анонимный, чем это.

    Монитор утечки данных

    Все больше и больше VPN предлагают своим клиентам дополнительные преимущества, например бесплатное облачное хранилище. Atlas предоставляет монитор утечки данных на всех своих платных планах.Этот монитор сканирует просочившиеся базы данных в поисках вашей личной информации. Хотя это не так тщательно, как лучшие службы кражи идентификационных данных, оно предоставляет важные ранние предупреждения, чтобы вы могли изменить свои учетные данные и заблокировать свои учетные записи при самых первых признаках проблемы.

    Бесплатная опция

    Цены на

    Atlas VPN одни из самых низких, которые мы когда-либо встречали, но у них также есть бесплатный план. Это не одна из тех пробных версий со строгим лимитом данных в 500 МБ. Он не предназначен для того, чтобы предоставить вам мизерные семь дней обслуживания, прежде чем перейти на дорогой платный план.Это не одна из тех VPN, которые предоставляют бесплатные услуги, продавая ваши данные тому, кто больше заплатит. Бесплатный VPN от Atlas — это настоящий VPN, который может обеспечить вашу безопасность во время просмотра веб-страниц. Вы ограничены только тремя серверами, но ограничений на объем данных нет, и вам никогда не придется беспокоиться о том, что Atlas передаст вашу личную информацию кому-либо.

  • Неудивительно, что у большинства членов нашей команды экспертов по цифровой безопасности есть iPhone; в конце концов, мы молоды и живем в Бруклине, где постоянно подключаемся к общедоступным сетям Wi-Fi.ExpressVPN легко соединил нас с высокими скоростями, а с аварийным выключателем, если наше соединение было потеряно, мы все еще были защищены. Помимо наших iPhone, ExpressVPN также довольно хорошо работал на наших компьютерах Mac и Windows, и, что самое приятное, мы могли одновременно находиться в общедоступных и частных сетях, что очень удобно, когда мы многозадачны, что довольно много. все время.

    Что нам нравится
    • Отсутствие законов о хранении данных
    • Рейтинг лучших приложений
    • Доступ к Netflix
    • Высокая скорость на Windows
    Что нам не нравится
    • Нет поддержки по телефону
    • Низкая скорость на Mac
    • Пять одновременных подключений на подписку
    • Нет расширения браузера для Internet Explorer
    Приложение ExpressVPN

    Протокол Lightway

    ExpressVPN находится в авангарде технологии VPN.В дополнение к использованию существующих протоколов VPN компания разработала собственный безопасный и быстрый протокол под названием Lightway. Этот протокол VPN состоит всего из 2000 строк кода, что намного меньше, чем у таких протоколов, как OpenVPN. И в результате он легкий и обеспечивает плавный пользовательский интерфейс.

    Строгая политика ведения журнала

    Конечно, ExpressVPN не сохранил наш веб-трафик или активность, а это самое главное, что мы ожидаем от VPN, предназначенных для обеспечения конфиденциальности. Но они также не хранили больше нашей информации, чем необходимо; они знали только, какое приложение и версию мы использовали, когда мы его использовали, сервер, к которому мы подключались, и объем данных, которые мы передали в МБ.К счастью, наш трафик, метаданные и DNS-запросы не регистрировались.

    Раздельное туннелирование

    Иногда во время работы нам приходилось одновременно находиться в частной и общедоступной сети. Для большинства VPN это означало отключение соединения, когда нам нужно было получить доступ к файлам в общедоступной сети, но это не относится к ExpressVPN. Это потому, что у них есть раздельное туннелирование, которое позволяет нам получать доступ к обеим сетям одновременно. Часть нашего трафика проходила через зашифрованный туннель ExpressVPN, а часть подключалась к Интернету напрямую, как обычно.Нам понравилось удобство раздельного туннелирования, которое избавило нас от необходимости слишком часто переключаться.

  • PureVPN — одна из лучших VPN для путешествий с более чем 6500 серверами в более чем 78 странах, включая Великобританию, Австралию, Францию, Германию, Нидерланды, Испанию, Японию, Мексику, Сингапур и Объединенные Арабские Эмираты. Это позволило нам легко путешествовать, не подключаясь к сомнительным сетям Wi-Fi и не сталкиваясь с интернет-цензурой.PureVPN скрыл нашу историю посещенных страниц и IP-адрес, чтобы мы могли быть более анонимными в Интернете.

    Что нам нравится
    • Шифрование AES-256
    • Протокол OpenVPN
    • Более 6500 серверов в более чем 78 странах
    • Находится в Гонконге, не является участником Five Eyes
    Что нам не нравится
    • Торрент не всегда работает
    • Статические IP-адреса
    • Задержка в Windows и Mac
    • Нет бесплатной пробной версии
    PureVPN Kill Switch

    Огромная глобальная сеть

    PureVPN имеет одну из крупнейших глобальных сетей серверов и доступен более чем в 78 странах.В частности, у VPN есть серверы в:

    .
    Страна Серверы и локации
    Великобритания 147 в Манчестере, 18 в Госпорте, 399 в Лондоне, 3 в Мейденхеде
    Австралия 128 в Сиднее, 79 в Мельбурне, 76 в Перте, 77 в Брисбене
    Франция 24 в Париже, 18 в Рубе
    Германия 63 во Франкфурте, 54 в Мюнхене, 12 в Нюрнберге, 54 в Берлине, 18 в Гессене
    Нидерланды 316 в Амстердаме
    Испания 90 в Мадриде
    Япония 110 в Токио
    Корея 14 в Сеуле
    Мексика 20 в Мехико
    Сингапур 142 в Сингапуре
    Объединенные Арабские Эмираты 33 в Дубае

    Неудивительно, что PureVPN является одним из лучших VPN для Австралии, лучших VPN для Франции, лучших VPN для Германии и многих других.

    Строгая политика ведения журнала

    Пока мы устанавливали самолет и подключались к международным серверам PureVPN, PureVPN скрыл наш IP-адрес вместе с историей посещенных страниц. На самом деле VPN собрал только наши:

    • Имена
    • Адреса электронной почты
    • Платежная информация
    • Общая потребляемая пропускная способность.

    С другой стороны, все, что мы делали онлайн, оставалось за нами. А поскольку PureVPN базируется в Гонконге, не являясь членом Five Eyes, компания не может быть юридически принуждена предоставить какую-либо нашу информацию правительству.Добавьте немного шифрования AES-256, самого высокого стандарта, и PureVPN, безусловно, заслуживает доверия, когда речь идет о конфиденциальности.

    Доступен выделенный IP-адрес

    С PureVPN мы получали один и тот же IP-адрес каждый раз, когда подключались, которым пользовались тысячи других пользователей PureVPN. Это было здорово для безопасности, так как мы терялись в толпе. Однако для некоторых веб-сайтов, которые распознают эти общие IP-адреса, это было проблемой, и мы были заблокированы. Вот почему мы были рады, что, кроме того, PureVPN предлагает выделенные IP-адреса всего за 2 доллара.04 в месяц с двухлетней подпиской. Выделенные адреса так же безопасны, как и общие адреса, но мы были единственными, кто использовал этот IP-адрес. Это облегчило веб-сайтам запоминание того, кто мы такие.

  • CyberGhost имеет более 7500 серверов в 91 стране, поэтому, хотя мы тестировали его только в Соединенных Штатах, где бы вы ни находились, у вас, вероятно, не возникнет проблем с подключением.Компания базируется в Румынии и не является членом тех международных сетей наблюдения, о которых мы постоянно упоминаем; Кроме того, в Румынии как стране почти нет собственных законов о хранении данных, что делает CyberGhost отличным выбором для обеспечения конфиденциальности.

    К вашему сведению: CyberGhost предлагает раздельное туннелирование только на устройствах Android, поэтому, если вы используете устройство Windows, Mac или iOS, вы сможете получить доступ только к частным, а не к общедоступным сетям.

    Что нам нравится
    • Не член пятиглазого, девятиглазого и четырнадцатиглазого
    • Отличная поддержка клиентов
    • Доступная стоимость
    • Тысячи серверов по всему миру
    Что нам не нравится
    • Политика ведения журнала
    • Раздельное туннелирование доступно только для Android
    • Статические IP-адреса
    • Низкая производительность в Windows
    CyberGhost Kill Switch

    Шифрование военного уровня

    CyberGhost использует AES-256, который в настоящее время является отраслевым стандартом шифрования.Всякий раз, когда мы подключались, мы получали анонимный IP-адрес, которым делились с другими пользователями CyberGhost на том же сервере. В сочетании с шифрованием мы были уверены, что наши личности были скрыты, когда мы использовали CyberGhost для работы в Интернете.

    Доступны скидки

    Если вы еще не заметили, мы никогда не могли упустить отличные предложения, и у CyberGhost есть одно из лучших предложений. Хотя его ежемесячный план за 12,99 долл. США является довольно стандартным по сравнению с другими VPN, его годичные, двухлетние и трехлетние планы сильно снижены.Они стоят 4,29 доллара, 3,25 доллара и 2,29 доллара в месяц соответственно. Конечно, три года — это довольно большой срок, поэтому, чтобы сделать сделку приятнее, CyberGhost включает три месяца бесплатного VPN-сервиса в трехлетний план в течение ограниченного времени.

    Отличная поддержка клиентов

    Мы будем честны с вами: большинство VPN-компаний серьезно экономят, когда дело доходит до поддержки клиентов, с небольшим количеством доступных вариантов и безответными агентами. Однако в этом отношении CyberGhost не соответствует шаблону. Благодаря круглосуточному живому чату мы получали ответы всего за несколько секунд, то есть, если мы не могли найти то, что искали, в их обширном блоге и часто задаваемых вопросах.

  • Когда дело дошло до вечеринок с просмотром Netflix, Hotspot Shield обеспечил высокую скорость на наших компьютерах Mac и Windows. Мы также не сталкивались с большими задержками или задержками на Netflix, когда использовали приложение на наших устройствах Android, что очень удобно во время поездок на работу. Кроме того, у Hotspot Shield есть бесплатная опция для тех, кто не хочет тратить деньги на VPN; однако вы будете ограничены дневным лимитом данных в 500 МБ, что может затруднить просмотр фильмов и телешоу на Netflix и других потоковых сервисах.Мы выбрали месячный план, который стоил нам 12,99 долларов в месяц, хотя были и более дешевые варианты, если мы подписались на один или два года.

    Экономия денег: Чтобы получить скидки, зарегистрируйтесь на длительный срок; как правило, подписка на один или два года дешевле, чем ежемесячная подписка.

    Что нам нравится
    • Высокая скорость
    • Бесплатная опция
    • Доступ к Netflix
    • Торрент-доступ
    Что нам не нравится
    • Пять одновременных подключений
    • Базируется в США.С.
    • Служба поддержки не отвечает
    • Сохраняет IP-адрес
    Использование Hotspot Shield на моем Mac

    Обычные отчеты о прозрачности

    Очевидно, нам не нравится тот факт, что Hotspot Shield базируется в Соединенных Штатах. Однако мы были впечатлены тем, что у них есть ежегодные отчеты о прозрачности, чтобы доказать, что они не передают данные клиентов, даже когда их об этом просят. В 2019 году, например, их просили передать данные пользователей 56 раз, и каждый раз они отказывались. Очевидно, что Hotspot Shield предназначен для защиты конфиденциальности пользователей, и их отчеты о прозрачности доказывают это.

    Бесплатный VPN

    Обычно мы избегаем бесплатных VPN из-за того, насколько они склонны к сомнительным методам обеспечения конфиденциальности, а также из-за того, что большинство из них ограничены в своих возможностях. Однако Hotspot Shield — уважаемая компания с проверенной репутацией, поэтому у нас не возникло проблем с опробованием ее бесплатного VPN. У него все еще есть пределы; например, одновременно может подключаться только одно устройство, а дневной лимит данных составляет 500 МБ (что мы считаем щедрым). Но нам понравилось, что бесплатный VPN подпадает под политику отсутствия журналов компании, поэтому мы не беспокоились о том, что Hotspot Shield будет регистрировать нашу активность и продавать наши данные третьим лицам.

    Сверхбыстрые скорости

    Hotspot Shield был одним из самых быстрых VPN, которые мы тестировали на наших компьютерах с Windows и Mac. Скорость загрузки снизилась на 30% и 18%, а скорость загрузки снизилась на 0,2% и 26% на Mac и Windows соответственно. Хотя задержка была немного больше, чем нам хотелось бы, Hotspot Shield — отличный вариант для загрузки файлов через торрент или просмотра Netflix.

  • ProtonVPN хорошо показал себя в наших тестах скорости как на Windows и Mac, так и на iOS и Android.Немногие VPN имеют такие же быстрые и стабильные скорости, как ProtonVPN, поэтому мы рекомендуем его как лучший VPN для использования с Zoom и другим программным обеспечением для виртуальных собраний. Помимо хороших скоростей, у ProtonVPN был бесплатный план для тех, кто не хочет тратить деньги на VPN. Бесплатный план не имеет ограничений на передачу данных, но его можно использовать только на одном устройстве. При этом мы выбрали план Plus, который, по нашему мнению, был самым выгодным планом, предлагаемым ProtonVPN. Это стоило нам 10 долларов в месяц, но мы могли бы снизить цену до 6 долларов.63 в месяц, если бы мы пошли с двухлетним планом.

    Что нам нравится
    • Высокая скорость
    • Бесплатная опция
    • Доступ к Netflix
    • Торрент-доступ
    Что нам не нравится
    • Относительно высокие цены
    • Поддержка клиентов ограничена билетами
    • Браузер не поддерживает
    • Относительно мало серверов
    Приложение ProtonVPN на iPhone

    Регулярные отчеты о прозрачности

    Мы были впечатлены тем, что ProtonVPN составляет ежегодные отчеты о прозрачности, чтобы доказать, что он не передает данные клиентов, даже когда их об этом просят.Компания базируется в Женеве, Швейцария, и не подпадает под действие соглашений о наблюдении Five Eyes, Nine Eyes или 14 Eyes. Тем не менее, нам понравилось иметь дополнительные доказательства того, что компания собирает о нас самый минимум, только наши адреса электронной почты, платежную информацию и временные метки. Во время нашей последней проверки единственной существенной активностью в отчете о прозрачности был запрос данных за 2019 год для получения информации от швейцарских судов. Поскольку ProtonVPN не собирает IP-адреса или онлайн-активность ни одного из своих пользователей, ему нечего было передавать.

    Бесплатная версия

    Мы были рады узнать, что ProtonVPN предлагает совершенно бесплатный вариант и работает с Android, Windows, macOS и iOS. Черт возьми, это работает даже с Linux. У этой бесплатной версии есть несколько недостатков. Вы можете подключиться только через одно устройство, а серверы есть только в трех странах: США, Японии и Нидерландах. Тем не менее, бесплатная версия не имеет ограничений по скорости и объему данных, так что вы можете смотреть Netflix так, как душе угодно.

    Высокая скорость загрузки

    Поскольку все больше людей работают из дома, нам нужна высокая скорость загрузки и низкая задержка, чтобы наше программное обеспечение для совещаний работало бесперебойно.Нет ничего более неловкого, чем когда вы смеетесь над чьей-то шуткой, но они слышат ее только через две минуты. ProtonVPN был одним из самых быстрых VPN, которые мы тестировали на наших компьютерах с Windows и Mac, когда речь шла как о скорости загрузки, так и о задержке.

    Скорость Proton VPN

    Разница в скорости загрузки, Mac На 11 процентов медленнее
    Разница в скорости загрузки, Windows На 4 процента медленнее
    Разница в скорости загрузки, Mac На 87 процентов медленнее
    Разница в скорости загрузки, Windows На 42% медленнее
    Разница в скорости задержки, Mac На 20 процентов быстрее
    Разница в скорости задержки, Windows На 10 процентов быстрее
  • Norton, возможно, наиболее известный своей защитой от кражи личных данных LifeLock (подробнее читайте в нашем обзоре LifeLock) и антивирусным программным обеспечением Norton, также имеет VPN, и это неплохо.Каждый раз, когда мы подключались к приложению macOS, мы получали разные IP-адреса, что затрудняло отслеживание нас в сети. Поскольку анонимность в Интернете — это то, что нам нужно, мы остались довольны этим VPN-приложением.

    Что нам нравится
    • Шифрование AES-256
    • Различные IP-адреса при каждом подключении
    • Доступный
    • Максимум 10 устройств
    Что нам не нравится
    • Находится в США, член Five Eyes
    • Нет раздельного туннелирования на устройствах iOS или Mac
    • Netflix доступен не везде
    • Переключатель экстренного отключения не доступен на компьютерах Mac или устройствах iOS
    Домашняя страница приложения Norton

    Доступные цены

    Сколько стоит Norton Secure VPN, спросите вы? Ну, если вы подписываетесь только на месяц на одном устройстве, это 4 доллара.99. Однако для 10 устройств в год стоимость составляет всего 59,99 долл. США, что составляет всего около 0,50 долл. США за устройство в месяц. Если вам нужен VPN для всей семьи, этот план невероятно доступен, это одно из лучших предложений VPN, которые мы видели за последнее время (включая предложения VPN «Черная пятница» и «Киберпонедельник»!).

    Максимальное количество устройств Срок контракта Сумма счета
    1 1 месяц 4 доллара.99
    1 1 год 39,99 $
    5 1 месяц 7,99 $
    5 1 год 39,99 $
    10 1 месяц 9,99 $
    10 1 год 59,99 $

    Сильное шифрование

    Norton Secure VPN зашифровал нашу веб-активность и скрыл наш IP-адрес с помощью AES-256, того же шифрования, что и U.S. правительственное и военное использование, так что вы знаете, что это безопасно. Кроме того, в некоторых местах VPN шифровала нашу веб-активность и несколько раз меняла наши IP-адреса. Этот процесс называется многоскачковым или двойным скачком. Это значительно усложнило отслеживание нас в Интернете, от наших личных электронных писем до товаров, которые мы купили на Etsy. В конце концов, никому не нужно знать о нашей одержимости старинными баночками из-под печенья.

    Тест скорости в Windows без VPNТест скорости в Windows с VPN

    Дружественные мобильные приложения

    Все мы знаем, что прямое использование общедоступной сети Wi-Fi — отличный способ стать жертвой взлома, поэтому мы всегда подключаемся к VPN, такой как Norton Secure, когда проверяем свои телефоны в очереди на наличие круассанов.К счастью, Norton хорошо работает с мобильными приложениями, в частности с приложением Norton Secure VPN — Security & Privacy WiFi Proxy для Android и приложением Norton Secure VPN & Proxy VPN для iOS. После того, как мы загрузили приложения, мы подключились к ближайшим серверам за считанные секунды без каких-либо ошибок или сбоев. Другие клиенты Norton согласны с нами, поскольку приложение для Android имеет рейтинг 4,4, а приложение для iOS — 4,3.

  • NordVPN Review 2022 — лучший VPN или отстающий?

    VPN Панама Журналы Цена Поддержка Возврат Сайт
    NordVPN
    Основанная в
    Журналы Нет (аудит)
    $ 3.29/мес.
    24/7 чат
    30 дней
    NordVPN.com

    NordVPN, вероятно, является наиболее широко известным брендом VPN в отрасли. С годами его популярность росла и продолжает расти. В этом обновленном обзоре NordVPN за 2022 год мы решили проверить, работает ли он по-прежнему выше остальных.

    В то время как NordVPN показал очень хорошие результаты в тестах для этого обзора, в сфере VPN также есть множество конкурентов . Таким образом, ключевой вопрос здесь заключается в том, является ли NordVPN по-прежнему лучшим или он отстает от конкурентов. Этот обзор NordVPN даст вам четкий ответ.

    Как и во всех наших обзорах VPN здесь, на RestorePrivacy, мы действительно вдаемся в детали с результатами тестов и анализом. Вот что мы рассмотрели для этого обзора NordVPN:

    • Многочисленные тесты скорости, проведенные с серверами NordVPN по всему миру
    • Тесты на утечку, проведенные в настольных приложениях (проверка утечек IPv4, IPv6 и DNS)
    • Тестирование аварийного выключателя и всех функций
    • Проверка совместимости потоковой передачи с Netflix и другими services
    • Тестирование специализированных серверов, в том числе серверов Double-VPN и P2P

    В связи с ростом числа кибератак и корпоративной слежки хорошая VPN становится важнейшим инструментом для всех, кто выходит в Интернет.А в связи с массовым ростом потокового контента в Интернете VPN — это ваш билет к просмотру контента из любой точки мира. Итак, давайте начнем этот обзор NordVPN с изучения основных выводов.

    Плюсы NordVPN
    1. Надежные функции обеспечения конфиденциальности и безопасности
    2. Премиум-производительность: высокая скорость, высокая надежность и мгновенное подключение
    3. Безопасные приложения без утечек
    4. Большая и безопасная серверная сеть
    5. Отличная поддержка клиентов
    6. Проверенный VPN-провайдер без журналов (аудит)
    7. NordVPN, базирующийся в Панаме (юрисдикция с хорошей конфиденциальностью)
    8. Дополнительные обновления безопасности
    9. Полная поддержка WireGuard с NordLynx
    10. Работает с Netflix и многими другими потоковыми сервисами
    11. Полнофункциональные мобильные клиенты
    12. Низкие цены и хорошая1 политика возврата 900
    Минусы NordVPN
    1. Большие скидки доступны только для более длительных подписок
    2. Нет специального приложения для маршрутизатора (но все еще работает на маршрутизаторах)
    Дополнительные результаты исследования
    • Подходит ли NordVPN для торрентов?
    • Работает ли NordVPN в Китае?
    • Можно ли получить выделенный IP-адрес с помощью NordVPN?

    А теперь давайте перейдем к делу и начнем с плюсов NordVPN.

    Плюсы NordVPN

    Вот плюсы (преимущества) NordVPN.

    Надежные функции обеспечения конфиденциальности и безопасности

    NordVPN предлагает ряд надежных функций для повышения конфиденциальности и безопасности пользователей, превосходящих большинство других VPN. Давайте взглянем на шифрование NordVPN и некоторые из этих расширенных функций.

    Надежные стандарты шифрования и выбор протокола VPN

    Клиенты OpenVPN NordVPN используют шифр AES-256-GCM и хэш-аутентификацию HMAC SHA256.Кроме того, NordVPN использует Perfect Forward Secrecy посредством обмена ключами DHE-4096. Шифр AES-256-GCM также используется для шифрования трафика по протоколу IPSec/IKEv2.

    Помимо OpenVPN и IPSec/IKEv2, NordVPN также поддерживает протокол WireGuard VPN непосредственно во всех приложениях VPN. Реализация WireGuard от NordVPN, ориентированная на конфиденциальность, называется NordLynx. Вы можете легко переключаться между VPN-протоколами в настройках/предпочтениях.

    NordLynx (протокол WireGuard) предлагает серьезные преимущества в производительности и безопасности, которые мы увидим ниже.

    NordVPN CyberSec для блокировки рекламы, трекеров и многого другого

    NordVPN CyberSec — это функция безопасности, которая блокирует трекеры, рекламу и вредоносные домены. Я обнаружил, что он хорошо работает при тестировании, эффективно блокируя все домены рекламы/отслеживания на разных сайтах, которые я посещал.

    CyberSec активируется непосредственно из клиента NordVPN, как показано ниже.

    Функция NordVPN CyberSec — это легкий и эффективный блокировщик рекламы, трекеров, вредоносных доменов и многого другого.

    У CyberSec есть три явных преимущества для пользователей NordVPN:

    1. Больше конфиденциальности . В современном мире реклама представляет собой расширенные инструменты отслеживания , которые записывают ваши действия в Интернете и сопоставляют их с вашим профилем данных. Так рекламные сети придумывают таргетированную рекламу. Блокировка рекламы через CyberSec имеет решающее значение по соображениям конфиденциальности.
    2. Больше безопасности — функция CyberSec также имеет решающее значение для безопасности. Интернет-объявления обычно передаются через сторонние домены, которые могут быть вредоносными (см. вредоносная реклама ).Эти вредоносные домены будут использовать рекламу в качестве вектора атаки для заражения вашего устройства, даже если вы не нажмете на них. CyberSec защищает вас от этого, блокируя домены на основе списка угроз в реальном времени.
    3. Более высокая скорость загрузки страниц . Объявления могут потреблять много трафика и сильно замедлять скорость загрузки страниц, особенно на мобильных устройствах. Блокировка рекламы может значительно повысить производительность и помочь сохранить ваш тарифный план.

    Функция CyberSec NordVPN — одна из лучших блокировщиков рекламы VPN, которые вы найдете.Эта функция доступна на мобильных и настольных устройствах.

    Примечание : CyberSec использует списки фильтров в реальном времени, которые блокируются через DNS-запросы. Поэтому эта функция активна только при подключении к VPN .

    Двойная VPN (многоскачковая)

    NordVPN — один из немногих провайдеров VPN, предлагающих многоскачковую функциональность — или, в данном случае, двойные VPN-серверы. С двойными VPN-серверами NordVPN ваш трафик шифруется на двух отдельных VPN-серверах перед выходом в обычный Интернет.Это также дает некоторые преимущества.

    • Double-VPN обеспечивает дополнительный уровень шифрования между вашим устройством и обычным Интернетом.
    • Это также может защитить вас от скомпрометированного центра обработки данных. При настройке двойной VPN ни один сервер не может видеть одновременно ваш IP-адрес и сайты, которые вы посещаете.
    • Распределяет доверие между двумя разными серверами.
    NordVPN имеет двойные VPN-серверы, которые шифруют ваш трафик через два разных перехода (расположение VPN-серверов).

    Использование многоскачковой VPN, безусловно, неплохая идея.Удивительно, но производительность с двумя VPN-серверами была превосходной, скорость варьировалась от 195 Мбит/с до 214 Мбит/с (скриншоты размещены ниже).

    В настоящее время NordVPN предлагает 31 конфигурацию VPN с двойным переходом . Их можно легко выбрать в клиенте NordVPN. Для тех, кто хочет более высокий уровень конфиденциальности и безопасности, серверы с двойным VPN — отличный вариант.

    Луковые серверы через VPN

    Если вам требуется дополнительное шифрование и анонимность помимо VPN-сервера с одним переходом, другой вариант — использовать сервер Onion-over-VPN.Серверы Onion-over-VPN шифруют трафик сети Tor в дополнение к обычному VPN-серверу. В настоящее время NordVPN предлагает для этого два местоположения: Нидерланды и Швейцария.

    Высокая скорость, высокая надежность и мгновенное подключение

    Для этого NordVPN я провел десятки тестов скорости с использованием различных протоколов VPN, а также различных серверов по всему миру. Моя базовая скорость для тестирования составляла около 480 Мбит/с при проводном соединении Ethernet (без WiFi). В целом, результаты теста скорости NordVPN были феноменальными.

    Чтобы получить наилучшую производительность, я выбрал протокол NordLynx в настройках, а затем протестировал различные местоположения серверов.

    Сначала я протестировал соседний сервер NordVPN в Сиэтле , который дал мне 445 Мбит/с .

    Это самый быстрый результат теста скорости VPN, который мы получили при восстановлении конфиденциальности. Это намного быстрее, чем OpenVPN, и недалеко от моей базовой скорости.

    Затем я протестировал сервер NordVPN в Лос-Анджелес , что дало мне около 304 Мбит/с :

    При скорости более 300 Мбит/с видно, что NordVPN относится к категории «самых быстрых VPN».Он даже вышел на первое место в сравнении NordVPN и ExpressVPN.

    Затем я протестировал сервер NordVPN в Нью-Йорке , и он снова оказался очень быстрым на 280 Мбит/с .

    Наконец, я протестировал сервер NordVPN в Великобритании. Вот сервер NordVPN UK со скоростью около 295 Мбит/с :

    Я проводил тесты скорости NordVPN в течение последних пяти лет, и это лучшие результаты тестов скорости, которые я когда-либо получал с NordVPN.Понятно, что протокол WireGuard VPN и обновления серверной сети действительно улучшают производительность. Мы также использовали NordVPN для сравнения WireGuard и OpenVPN, где мы обнаружили, что WireGuard работает примерно на 58 % быстрее, чем OpenVPN.

    Примечание . Не все сети WireGuard VPN работают на этом уровне. Например, в отчете CyberGhost и NordVPN вы можете увидеть, что NordVPN имеет огромное преимущество в производительности, несмотря на то, что обе VPN используют WireGuard.

    NordVPN Двойная скорость VPN

    Я также провел несколько тестов с двойными VPN-серверами NordVPN, чтобы проверить скорость.Чтобы получить доступ к серверам Double-VPN, вам необходимо переключиться на протокол OpenVPN.

    Сначала я протестировал конфигурацию с двумя VPN-серверами для США > Канада и смог получить около 214 Мбит/с.

    Для соединения с двойным VPN эти скорости превосходны . Мало того, что трафик шифруется и направляется через два сервера, это также происходит с протоколом OpenVPN, который медленнее, чем WireGuard.

    Затем я протестировал двойные VPN-серверы для Швейцария > Швеция и снова получил отличные скорости: 195 Мбит/с.

    NordVPN значительно превосходит другие VPN, предлагающие конфигурации с двумя VPN. Вы можете увидеть это в статье NordVPN против ProtonVPN.

    Надежность и соединения

    Говоря о производительности, также важно обсудить надежность и соединения:

    • Надежность . Я считаю NordVPN очень надежным. Серверы были стабильно быстрыми, и у меня не было ни одного обрыва соединения.
    • Соединения — при использовании протокола WireGuard VPN я обнаружил, что NordVPN очень быстро устанавливает соединение — почти мгновенно.В то время как OpenVPN может занять несколько секунд (или больше), WireGuard предлагает почти мгновенные соединения. Это делает переключение VPN-серверов еще более быстрым и легким.

    Заключение по производительности . После последнего раунда тестов скорости для этого обзора я могу сделать вывод, что NordVPN предлагает быструю,   стабильную и надежную скорость . Это самый быстрый из тех, что я видел в NordVPN за все годы его тестирования. Он также неизменно выходит на первое место по сравнению с другими VPN, например, в сравнении NordVPN и IPVanish.

    Безопасные VPN-приложения без утечек

    NordVPN также предлагает хорошую линейку из безопасных приложений (клиентов) для всех основных операционных систем и устройств:

    • Windows
    • Mac OS
    • Linux
    • Android и iOS (мобильные)
    • Android TV

    Вот мои основные выводы из тестирования и обзора клиентов NordVPN для Windows и Mac OS:

    • Полнофункциональный — приложения NordVPN загружены функциями, включая специализированные серверы, защиту от утечек и настройки запуска/подключения.
    • Простота в использовании . Независимо от того, являетесь ли вы новичком в VPN или опытным профессионалом, вы найдете клиенты NordVPN удобными и интуитивно понятными. Настройка параметров и выбор функций очень просты.
    • Безопасный . Помимо надежного шифрования, о котором мы говорили выше, NordVPN также защищает данные с помощью аварийного выключателя. Это блокирует трафик (или закрывает приложения), если VPN-соединение по какой-либо причине обрывается. Мы рассмотрим это подробнее ниже.

    VPN-приложения NordVPN для настольных ПК

    NordVPN предлагает отличные настольные VPN-приложения для Windows, Mac OS и Linux.

    Клиент NordVPN для Windows использует протоколы OpenVPN и WireGuard VPN и предлагает все функции. Чтобы подключиться к серверу в клиенте NordVPN для Windows, вы можете использовать список слева или щелкнуть местоположение на карте. На снимке экрана ниже я тестирую клиент Windows VPN с серверами Double VPN.

    Приложения NordVPN безопасны, удобны и полнофункциональны.

    Я обнаружил, что время подключения очень хорошее, NordVPN быстро подключается к серверам (без длительных задержек).Если вы используете протокол NordLynx (WireGuard), вы получите почти мгновенное соединение. После множества тестов и сравнений мы оценили NordVPN как одну из лучших VPN для пользователей ПК.

    Клиент NordVPN для Mac OS

    Для этого обзора NordVPN я также протестировал клиент Mac OS. Клиент Mac OS предлагает все те же функции и встроенный переключатель уничтожения, который автоматически блокирует трафик в случае обрыва соединения.

    В клиенте Mac OS можно выбирать между следующими протоколами VPN: IKEv2, OpenVPN UDP, OpenVPN TCP и NordLynx (WireGuard).Вы также можете ознакомиться с нашими лучшими VPN для Mac, чтобы узнать о дополнительных возможностях.

    Выключатель NordVPN

    NordVPN — одна из немногих VPN, которая предлагает два разных типа аварийных выключателей. Переключатель уничтожения важен, потому что он блокирует трафик в случае обрыва VPN-соединения, что защищает вас от деанонимизации и раскрытия вашего обычного трафика.

    На снимке экрана ниже вы можете увидеть два разных выключателя на клиенте NordVPN для Windows:

    • Internet Kill Switch — блокирует весь трафик, если VPN-соединение обрывается через брандмауэр (рекомендуется).
    • App Kill Switch — закроет приложения при обрыве VPN-подключения, но не заблокирует трафик.

    Если вас беспокоит утечка IP-адресов, лучше всего использовать «интернет-выключатель», так как он заблокирует не-VPN-трафик через брандмауэр. И если вы используете переключатель уничтожения в Интернете, вам, вероятно, не нужно использовать переключатель уничтожения приложений.

    Результаты проверки на утечку NordVPN: утечки не обнаружены

    Я провел для клиентов NordVPN для Windows и Mac OS несколько основных тестов и проверок VPN, чтобы выявить любые утечки или проблемы.Кроме того, я также протестировал переключатель отключения NordVPN, чтобы убедиться, что он эффективно работает в обоих клиентах.

    С Windows-клиентом NordVPN я не обнаружил утечек IP-адресов или DNS. На скриншоте ниже вы можете увидеть:

    • IPv4-адрес совпадает с адресом VPN-клиента (нет утечек IPv4)
    • IPv6 эффективно заблокирован (нет утечек IPv6)
    • Нет утечек WebRTC (но это заблокировано в вашем браузере)
    • DNS-запросы обрабатываются Сервер NordVPN (нет утечек DNS)
    Утечек IP-адресов или утечек DNS в NordVPN обнаружено не было.

    Я также обнаружил, что Internet Kill Switch и App Kill Switch работают хорошо — никаких проблем или проблем, о которых нужно сообщить.

    Тесты на утечку для Mac OS — Я провел для клиентов Mac OS те же тесты, что и выше, для клиента Windows. Результаты оказались одинаковыми в том, что я не обнаружил утечек или проблем. Кроме того, переключатели уничтожения Mac OS работали правильно, без каких-либо проблем.

    Тесты утечки Android — Хайнрих протестировал Android-клиент NordVPN при работе над обзором VPN для Android.Он обнаружил, что он работает очень хорошо, без каких-либо утечек или проблем. И Surfshark, и ExpressVPN также предлагают хорошие клиенты для Android.

    Большая и безопасная серверная сеть NordVPN

    NordVPN может похвастаться огромной серверной сетью, которая в настоящее время включает более 5100 серверов в 60 странах . Благодаря большой сети серверов NordVPN легко разблокирует веб-сайты и другой цифровой контент. Это также упрощает поиск быстрого и надежного сервера рядом с вашим местоположением. Это помогает свести к минимуму задержку (пинг), что важно, если вам нужен лучший VPN для игр.

    NordVPN объявил о значительных обновлениях сети для дальнейшего повышения производительности и безопасности. Мы рассмотрим их подробнее ниже в разделе обновлений безопасности, но сначала коснемся одной интересной области…

    Совместно размещенные серверы развертываются сейчас

    Большинство VPN арендуют серверы у третьих лиц. Хотя это стандартная практика, NordVPN решил поднять планку, развернув собственное оборудование (совмещенные серверы). Первым местом, где были размещены серверы NordVPN, стала Финляндия.Остальные обновления сети должны быть завершены позже в этом году.

    Высокоскоростные совмещенные серверы выделят NordVPN среди большинства других провайдеров VPN.

    Обфусцированные серверы NordVPN

    Мы уже рассмотрели серверы Double-VPN и Onion-over-VPN выше. В дополнение к этим специализированным серверам NordVPN также предлагает замаскированных серверов .

    Замаскированные серверы доступны непосредственно в VPN-клиенте, когда вы используете протокол OpenVPN.Эти серверы скрывают (запутывают) трафик VPN, чтобы он отображался как обычный трафик HTTPS, и полезны в следующих ситуациях:

    • Когда вам нужно обойти блокировки VPN на работе, в школе или в сетях с ограниченным доступом.
    • Чтобы избежать государственной цензуры и блокировки VPN в некоторых странах, например, в Китае, ОАЭ и других.

    Выбор замаскированных серверов делает NordVPN отличным вариантом, если вам нужен VPN для ОАЭ, Китая или любой другой страны с ограниченным доступом. Обратите внимание, что некоторые провайдеры VPN используют запутывание путем изменения протокола VPN, а не конкретных серверов, как мы описали в сравнении Surfshark и NordVPN.

    Использует ли NordVPN расположение виртуальных серверов?

    В прошлом мы исследовали проблему расположения виртуальных серверов. Это когда VPN утверждает, что имеет сервер в одной стране, но на самом деле он находится в другом месте. Хотя в некоторых случаях для этого есть веские причины, прозрачность также важна.

    В случае с NordVPN мы не нашли местоположений виртуальных серверов. Кроме того, представитель NordVPN подтвердил мне, что никакие виртуальные локации не используются.Другими словами, у NordVPN действительно есть серверы во всех заявленных местоположениях .

    Служба поддержки (живой чат и учебные пособия)

    NordVPN предлагает круглосуточную поддержку в чате , и представители очень полезны.

    Поддержка

    в чате всегда доступна на веб-сайте NordVPN в правом нижнем углу. Вам не нужно входить в систему, просто нажмите на значок чата, и вас свяжут с представителем.

    Я тестировал поддержку чата NordVPN несколько раз для этого обзора, и она работала хорошо, без каких-либо проблем.

    При всех моих взаимодействиях со службой поддержки NordVPN связь с представителем не занимала много времени (менее минуты). Сотрудники службы поддержки помогли ответить на все мои вопросы.

    Поддержка некоторых крупных провайдеров VPN может быть неполной. Это особенно актуально, потому что поддержка часто передается третьим сторонам. NordVPN обеспечивает всю поддержку собственными силами с помощью обученных технических специалистов (без внешних третьих лиц).

    Политика отсутствия журналов NordVPN (проверено)

    Еще одним важным аспектом конфиденциальности является политика ведения журналов NordVPN.NordVPN — один из немногих VPN-сервисов, чьи заявления об отсутствии логов были проверены и проверены . Во-первых, в 2019 году NordVPN прошел полный аудит, чтобы изучить все аспекты сервиса и проверить политику отсутствия журналов. Аудит был проведен компанией PricewaterhouseCoopers AG в Цюрихе, Швейцария.

    Для дополнительной проверки заявлений о конфиденциальности NordVPN недавно завершила вторую проверку , которая была опубликована в июля 2020 г. . Для этого второго аудита NordVPN расширил объем, предоставив полный доступ к серверам, сотрудникам и инфраструктуре VPN.Вот основные выводы:

    • NordVPN был проверен PricewaterhouseCoopers AG, авторитетной аудиторской фирмой, базирующейся в Цюрихе, Швейцария.
    • Аудиторы имели полный доступ для проверки всех серверов NordVPN, опроса сотрудников, наблюдения за операциями и проверки конфигураций, баз данных и любых других соответствующих областей, которые были сочтены необходимыми.
    • Аудит официально подтвердил, что NordVPN является «сервисом без журналов», который остается верным своей политике конфиденциальности.
    • NordVPN не хранит журналы подключений, IP-адреса, журналы трафика или любую информацию об интернет-активности.

    Вот дополнительное объяснение политики регистрации NordVPN из их политики конфиденциальности:

    NordVPN строго не ведет журналы вашей активности в сети. Это означает, что мы не отслеживаем время или продолжительность любого онлайн-сеанса, а также не ведем журналы используемых IP-адресов или серверов, посещенных веб-сайтов или загруженных файлов. Другими словами, никакие ваши личные и безопасные данные не регистрируются и не собираются в любое время. В результате мы не можем предоставить какие-либо подробности о вашем поведении в Интернете, даже если вы сами запросите это. NordVPN базируется за пределами юрисдикции ЕС и США и не обязан собирать ваши личные данные и информацию — это означает, что ничего не записывается, не отслеживается, не хранится, не регистрируется и не передается третьим лицам.

    В целом, NordVPN — хороший выбор, если вы ищете надежного VPN-провайдера без журналов.

    NordVPN, базирующийся в Панаме (хорошая юрисдикция конфиденциальности)

    Еще одним преимуществом NordVPN является то, что он базируется в Панаме.Панама не является членом каких-либо международных альянсов по наблюдению (см. «Пять глаз») и остается прекрасной юрисдикцией для обеспечения конфиденциальности.

    Как поясняет NordVPN по этому вопросу на своем веб-сайте:

    Мы базируемся и работаем под юрисдикцией Панамы. В Панаме нет закона об обязательном хранении данных, поэтому нам не нужно хранить журналы, что идеально подходит для провайдера VPN.

    Нахождение в Панаме действительно является хорошей юрисдикцией, которая дает NordVPN преимущества перед другими провайдерами VPN, как я также объяснял в своем сравнении NordVPN и PIA.

    Дополнительные обновления безопасности

    NordVPN в настоящее время инвестирует значительные ресурсы в улучшение безопасности и сетевой инфраструктуры, выходя за рамки того, что предлагает большинство других VPN-сервисов. Вот обзор обновлений безопасности NordVPN:

    .

    Текущий аудит безопасности

    NordVPN — одна из немногих VPN, прошедших полный сторонний аудит безопасности . Вот обзор аудита безопасности, проведенного Versprite, и результаты:

    Мы пригласили VerSprite, ведущую исследовательскую группу по безопасности, специализирующуюся на уязвимостях программного обеспечения, для поиска внутри и снаружи наших приложений с полным доступом, чтобы убедиться, что они нашли все возможное.Проанализировав нашу инфраструктуру, их команда смоделировала вредоносные атаки на приложения со всех сторон (тест на проникновение), а также определила внутреннюю архитектуру, которая может сделать приложения уязвимыми для этих атак. Как только они обнаружили и задокументировали уязвимость, они сообщили об этом нам, чтобы наша команда могла приступить к работе. Каждая обнаруженная потенциальная уязвимость была тщательно устранена, а затем протестирована снова.

    NordVPN продолжает работать с Versprite и их собственной командой тестировщиков на проникновение для обеспечения высочайших стандартов безопасности:

    • Комплексное тестирование на проникновение;
    • Обработка вторжений;
    • Оценка рисков поставщиков;
    • Анализ исходного кода.

    Основной аудит (и выводы) были завершены в конце 2019 года, но это непрерывный процесс.

    Программа поиска ошибок

    NordVPN официально запустил программу вознаграждения за обнаружение ошибок, и теперь она работает. Они вознаградят любого, кто найдет уязвимости в системе безопасности NordVPN.

    Наша работа состоит в том, чтобы предвидеть и предотвращать ошибки до того, как они появятся. Если кто-то проскользнет мимо нас, следующая лучшая линия защиты — это бдительное и активное сообщество кибербезопасности , готовое помочь поймать и исправить это, прежде чем оно подвергнет кого-либо риску.

    RAM-диск серверов

    NordVPN уже выполнил свое обещание преобразовать все серверы в своей сети для работы в режиме RAM-диска (без жестких дисков). Сегодня каждый сервер в сети NordVPN работает в энергозависимой оперативной памяти без жестких дисков. Это умный ход, который мы уже видели у других провайдеров VPN, таких как ExpressVPN, а также Perfect Privacy.

    Полная поддержка WireGuard с NordLynx

    Некоторые люди хотят использовать (относительно новый) протокол WireGuard VPN.На это есть много причин:

    • WireGuard — самый быстрый доступный протокол VPN (намного быстрее, чем OpenVPN)
    • WireGuard обеспечивает более быстрое подключение и лучшую надежность, особенно на мобильных устройствах
    • Обновленные алгоритмы шифрования используются с WireGuard которые предлагают полную поддержку WireGuard непосредственно в приложениях VPN.

      Использовать WireGuard с NordVPN очень просто. Просто выберите протокол NordLynx.

      Как мы уже говорили выше, Скорость WireGuard с NordVPN потрясающая .Повышенная безопасность и шифрование с помощью WireGuard являются дополнительными преимуществами, которые следует учитывать.

      Что касается конфиденциальности, NordVPN приложил немало усилий, чтобы NordLynx обеспечивал защиту конфиденциальности пользователей. Для этого они внедрили «двойную систему NAT (преобразование сетевых адресов)» с NordLynx. NordVPN объясняет преимущества следующим образом:

      Двойная система NAT позволяет нам установить безопасное VPN-соединение без сохранения каких-либо идентифицирующих данных на сервере.Динамические локальные IP-адреса остаются назначенными только во время активности сеанса. При этом аутентификация пользователя осуществляется с помощью защищенной внешней базы данных.

      Чтобы использовать WireGuard с NordVPN прямо сейчас, просто зайдите в настройки и выберите NordLynx из доступных протоколов VPN.

      NordVPN работает с Netflix и многими другими потоковыми сервисами

      Как и во всех моих обзорах VPN, я провел ряд тестов NordVPN, чтобы увидеть, насколько хорошо он работает с Netflix и потоковыми сервисами.

      Я использовал серверы NordVPN в США для доступа к своей учетной записи Netflix в Америке. Все работало отлично без каких-либо проблем, как вы можете видеть здесь:

      NordVPN стабильно работает со многими регионами Netflix по всему миру.

      На снимке экрана выше вы можете увидеть фильм Netflix, который я транслировал с подключенным приложением NordVPN в фоновом режиме (справа). NordVPN хорошо показал себя во всех этих тестах. Он разблокировал Netflix без каких-либо проблем и дал мне высокую скорость для потоковой передачи HD без перерыва.

      С помощью NordVPN вы можете получить полный доступ к следующим регионам Netflix: США, Великобритания, Канада, Франция, Германия, Нидерланды, Испания, Япония, Австралия, Индия и Италия. (Другие регионы также могут работать, но не тестировались для этого обзора.) Благодаря полной региональной поддержке NordVPN, безусловно, является одной из лучших VPN для Netflix.

      Другие потоковые сервисы — NordVPN работает с другими потоковыми сервисами, такими как Hulu, Amazon Prime, DAZN и другими. Это также отличный VPN для Disney+, который предлагает множество контента в 10 различных региональных библиотеках.Согласно последним результатам тестирования, NordVPN является одной из трех других VPN, которые работают с BBC iPlayer.

      Примечание . Если у вас возникли проблемы с подключением Netflix к NordVPN, просто обратитесь в службу поддержки. Представители живого чата точно скажут вам, какие серверы использовать.

      Полнофункциональные мобильные клиенты для Android и iOS

      Многие VPN экономят на своих мобильных VPN-приложениях. Это не относится к NordVPN. Клиенты NordVPN для Android и iOS предлагают полную поддержку следующих функций:

      • Протоколы OpenVPN и WireGuard
      • Специализированные серверы (Double-VPN, Onion-over-VPN, Obfuscated и P2P-серверы)
      • Встроенные настройки защиты от утечек

      Вот взгляд на Android-клиент NordVPN:

      Он занял первое место в рейтинге лучших VPN для Android, обойдя даже ExpressVPN.

      Примечание. В последнее время было много сообщений об опасных бесплатных мобильных приложениях, которые собирают пользовательские данные. Не дайте себя одурачить бесплатными VPN-приложениями, которые собирают ваши данные для получения прибыли. Придерживайтесь надежного платного VPN-сервиса, такого как NordVPN.

      Низкие цены и хорошая политика возврата

      NordVPN — один из самых дешевых VPN-сервисов, который по-прежнему хорошего качества.

      На момент написания этого обзора NordVPN предлагает двухлетнюю подписку со скидкой. Экономия здесь действительно значительная, цена снизилась всего до 90 517 $3.29 в месяц .

      Ниже приведены цены на подписку NordVPN:

      Двухлетний план всего за 3,71 доллара в месяц делает NordVPN лучшим дешевым VPN стоимостью менее 4 долларов в месяц.

      Вы можете расплачиваться всеми основными кредитными картами, Amazon Pay, Alipay, UnionPay и даже различными криптовалютами. Однако одним недостатком является то, что NordVPN больше не поддерживает платежи PayPal в США.

      Если вы сомневаетесь в двух- или двухлетних планах подписки, NordVPN также предлагает более короткие подписки, но они дороже.(Я также веду страницу купонов NordVPN, чтобы отслеживать последние предложения и сделки.)

      Политика возврата NordVPN (30 дней)

      NordVPN предоставляет 30-дневную гарантию возврата денег , что довольно щедро для стандартов VPN. Политика возврата не содержит каких-либо скрытых пунктов или ограничений.

      Минусы NordVPN

      Теперь рассмотрим минусы NordVPN.

      Большие скидки доступны только для более длительных планов

      Единственное, что меня беспокоит в NordVPN, это то, что тарифы со скидкой доступны только при двухлетней подписке.Два года — это долгий срок для создания VPN-сервиса. Хотя 30-дневное окно возврата дает вам достаточно времени, чтобы все проверить.

      В том же духе, месячная сделка довольно дорогая — 11,95 долларов в месяц. Это более чем в три раза превышает месячную стоимость двухлетнего плана. Но крутые скидки на длительные подписки становятся все более распространенными в индустрии — так что это неудивительно.

      Нет приложения VPN-маршрутизатора (но все еще работает на маршрутизаторах)

      Некоторые службы VPN, такие как ExpressVPN и VyprVPN, предлагают специальное приложение для определенных моделей маршрутизаторов.Это упрощает настройку и запуск VPN на вашем маршрутизаторе.

      В настоящее время NordVPN не предлагает никаких приложений VPN-маршрутизатора. Тем не менее, вы все равно можете использовать NordVPN с маршрутизатором. Вот три способа сделать это:

      1. Получите предварительно настроенный маршрутизатор в таких магазинах, как Sabai Technology или FlashRouters. Это будет несколько дорого, но будет готово к использованию с NordVPN прямо из коробки и предварительно сконфигурировано с необходимой вам прошивкой маршрутизатора.
      2. Получите маршрутизатор с поддержкой VPN , который можно использовать с VPN без необходимости перепрошивки.Лучший выбор роутеров с поддержкой VPN — у Asus. Asus предлагает множество маршрутизаторов, которые можно легко загрузить с файлами конфигурации OpenVPN (от любого провайдера VPN) и начать работу всего за несколько минут.
      3. Прошить существующий маршрутизатор . Это может быть сложно и несколько рискованно (блокировать маршрутизатор), поэтому вам следует действовать осторожно, если вы пойдете по этому пути. Степень сложности будет зависеть от используемого маршрутизатора.

      Совет . При использовании NordVPN на маршрутизаторе подключайтесь к ближайшему серверу с наименьшей нагрузкой.

      В целом отсутствие приложения для маршрутизатора не является препятствием, поскольку существует множество способов использования NordVPN на маршрутизаторе. Если вы используете маршрутизатор Vilfo, все файлы конфигурации NordVPN по умолчанию встроены в маршрутизатор. И, как всегда, служба поддержки NordVPN поможет вам все настроить правильно.

      Дополнительные результаты проверки

      Вот дополнительные результаты исследования для этого обзора NordVPN, основанные на моих собственных тестах.

      Работает ли NordVPN для торрентов? (Да)

      NordVPN — отличный выбор, если вам нужен хороший VPN для торрентов.Вот три причины почему.

      1. Быстрая и стабильная скорость — это будет полезно при загрузке больших файлов.
      2. Защита от утечек — Приложения NordVPN поставляются со встроенными настройками защиты от утечек. Это позволяет вам часами скачивать торренты, не беспокоясь о том, что ваш IP-адрес будет раскрыт.
      3. Безопасная юрисдикция — NordVPN базируется в Панаме. В отличие от США и Европы, в Панаме нет драконовских законов об авторском праве. NordVPN может просто игнорировать запросы DMCA/авторских прав из других стран.

      Кроме того, NordVPN также имеет выделенных P2P-серверов . Эти серверы перечислены в разделе «Специальные серверы» и являются быстрыми и идеально подходят для торрентов. Я протестировал торрент-серверы NordVPN, и все работало хорошо.

      NordVPN — отличный выбор для торрентов с отличной скоростью и безопасностью.

      Приложение NordVPN автоматически подключится к самому быстрому P2P-серверу для выбранной вами страны. Кроме того, вы также можете вручную подключаться к определенным торрент-серверам через приложение NordVPN.

      При работе с торрентами через NordVPN обязательно включите переключатель уничтожения для защиты вашего IP-адреса в случае обрыва соединения. Вы также можете найти руководства по настройке NordVPN с клиентами uTorrent и BitTorrent на веб-сайте NordVPN.

      Работает ли NordVPN в Китае? (Да)

      Многие люди ищут лучший VPN для Китая, который обеспечит конфиденциальность и доступ к онлайн-контенту. В этом случае NordVPN — отличный выбор. Он предлагает встроенные функции обфускации, которые будут скрывать VPN-трафик и обходить Великий китайский брандмауэр.

      Чтобы использовать NordVPN в Китае, просто подключитесь к одному из замаскированных серверов в VPN-клиенте. Когда вы используете один из этих серверов, клиент NordVPN автоматически запутывает ваш VPN-трафик, чтобы он отображался как обычное шифрование HTTPS. Это делает NordVPN отличным выбором для Китая или других стран, где VPN заблокированы.

      Можно ли получить выделенный IP-адрес с помощью NordVPN? (Да)

      Да, NordVPN предлагает выделенные IP-адреса, которые можно добавить к подписке VPN.

      NordVPN также дает вам возможность получить выделенный IP-адрес, что может быть полезно в некоторых случаях использования. Они предлагают выделенные IP-адреса для следующих местоположений:

      .
      • США (Буффало, Лос-Анджелес, Даллас)
      • Германия (Франкфурт)
      • Великобритания (Лондон)
      • Нидерланды (Амстердам)

      Стоимость статического IP-адреса от NordVPN составляет $70 в год, независимо от выбранное вами место. NordVPN, вероятно, лучший VPN для статического IP.Вы можете приобрести выделенный IP-адрес, связавшись со службой поддержки NordVPN, чтобы договориться о желаемом IP-адресе.

      Заключение обзора NordVPN: это по-прежнему лучший VPN в 2022 году

      Я тестирую NordVPN уже около шести лет, как в качестве личного пользователя, так и в качестве обзоров VPN. Этот обзор NordVPN — один из лучших, которые я опубликовал, просто из-за хороших результатов тестирования. С таким уровнем производительности NordVPN представляет собой премиальную VPN по очень разумной цене .

      За последние шесть месяцев NordVPN значительно улучшился во многих областях и продолжает улучшаться.Вот что мне особенно запомнилось в последнем обзоре:

      .
      • Повышение скорости и надежности всей серверной сети
      • Повышение стабильности и функций приложений (CyberSec)
      • Крупные обновления системы безопасности, включающие непрерывный сторонний аудит и программу вознаграждения за обнаружение ошибок, развертывание собственных серверов и преобразование сеть для работы только в режиме RAM-диска
      • Полная поддержка протокола WireGuard непосредственно в приложениях VPN
      • Расширенная поддержка Netflix и других потоковых сервисов

      Несмотря на несколько незначительных недостатков, NordVPN является надежным выбором и остается наша самая рекомендуемая VPN на основе результатов этих тестов.

      Приятно видеть, что NordVPN продолжает улучшаться и обновляться благодаря новым серверам и улучшенным функциям. И если вы хотите протестировать этот VPN, попробуйте его с купоном ниже, чтобы получить максимальную экономию.

      Купон NordVPN


      Получите скидку 60% на NordVPN (цена снижена до $3,29 в месяц) плюс БЕСПЛАТНУЮ защиту от вредоносных программ:

      (Купон применяется автоматически.)

      Альтернативы NordVPN

      Нажмите на название VPN ниже, чтобы прочитать наш полный обзор, или воспользуйтесь скидкой, чтобы сэкономить.Обе эти VPN имеют 30-дневную гарантию возврата денег.

      1. Обзор Surfshark (с купоном на скидку 82% )
      2. Обзор ExpressVPN
      3. Обзор VyprVPN

      Вы также можете ознакомиться с другими рекомендациями в нашем списке лучших VPN-сервисов.

      Если вы использовали NordVPN, поделитесь своим честным отзывом (хорошим или плохим) ниже.

      Последний раз этот обзор NordVPN обновлялся 3 февраля 2022 г.

      Что такое VPN: шифрование конфиденциальности, установка и многое другое

      Как работает VPN?

      Когда вы используете VPN, данные вашего устройства направляются через частный сервер, прежде чем они будут отправлены в Интернет.Это означает, что ваши данные шифруются еще до того, как они попадут в общедоступную сеть Wi-Fi. Даже если общедоступная беспроводная сеть была скомпрометирована, VPN поможет сохранить ваши данные в безопасности.

      Когда следует использовать VPN?

      Многие эксперты по кибербезопасности согласны с тем, что пока ваш маршрутизатор защищен паролем, вам не нужна VPN для домашнего беспроводного подключения. Но если вы регулярно пользуетесь общедоступным Wi-Fi в ресторанах, кафе, аэропортах или других местах, у вас нет возможности оценить безопасность общедоступных подключений.Например, хакеры иногда создают «поддельные» сети аэропортов и крадут данные у путешественников, которые думают, что выходят в Интернет через защищенное общедоступное соединение.

      Как начать работу с VPN.

      Остерегайтесь любых запросов в Интернете, которые выдают предложение «бесплатный VPN». Это могут быть мошенники, которые выдают себя за законные предложения и вместо этого раздают ваши данные или внедряют вредоносное ПО в устройства.

      Вместо этого рассмотрите такой вариант, как приложение Verizon Safe Wi-Fi VPN. Это доступно — всего несколько долларов в месяц — и работает по всему миру, защищая конфиденциальность и блокируя отслеживание рекламы.Есть 2 способа подписки:

      1. Перейдите на MyVerizon.com и войдите в систему; затем перейдите на страницу «Продукты и приложения».

      2. Загрузите приложение Safe Wi-Fi VPN прямо на свое устройство из Google Play Store или Apple App Store.

      Если на вашем устройстве установлено приложение Verizon Safe Wi-Fi, откройте приложение и проверьте состояние подключения. Если VPN отключен, коснитесь красного значка Wi-Fi в разделе «Статус VPN», чтобы включить защиту VPN.

      Больше безопасности с VPN.

      В вашем телефоне много функций и личных данных. Помогите защитить их 24/7, добавив VPN, где бы вы ни находились. Всего за несколько простых шагов вы можете добавить еще один способ убедиться, что ваши устройства постоянно работают на вас.

      6 лучших VPN для бизнеса в 2022 году и некоторые из них, которых следует избегать

      Крупные корпорации обычно используют свои собственные службы VPN. Но малым и средним предприятиям не хватает ИТ-ресурсов для настройки и обслуживания безопасной и частной VPN.

      К счастью, несколько потребительских VPN-компаний вышли в корпоративный мир, чтобы удовлетворить потребности этого недостаточно обслуживаемого рынка. Типичная потребительская VPN может работать в некоторых случаях, но компаниям часто требуется безопасный доступ к серверу, на котором они могут размещать документы, приложения и другие офисные ресурсы, чтобы сотрудники могли получать к ним удаленный доступ.

      VPN — лучший способ защитить данные при передаче. Сокращенно от Virtual Private Network, VPN шифрует и защищает весь интернет-трафик, проходящий между ноутбуком или смартфоном и VPN-сервером.Из-за этого любопытным хакерам очень трудно проникнуть в конфиденциальные данные. Учитывая, что Microsoft обнаружила, что средняя стоимость утечки бизнес-данных составила 3,8 миллиона долларов, а пятая часть малых предприятий пострадала от взлома, вируса или утечки данных в 2019 году, безопасность имеет большое значение.

      Ниже мы подробно расскажем о каждом из провайдеров, но если у вас есть время только на беглый взгляд, ниже приводится краткий обзор лучших VPN для бизнеса.

      Лучшие VPN для бизнеса:

      1. Периметр 81 Наш лучший выбор VPN для бизнеса.Серверы способны к быстрым и стабильным соединениям, которые могут обрабатывать все виды сетевого трафика, включая SSH, RDP, VNC и Telnet. Вы даже можете настроить VPN типа «сеть-сеть».
      2. NordVPN Teams Специализированная VPN для бизнеса, популярная среди малых и средних организаций.
      3. Twingate Business VPN для удаленных команд с поддержкой SSO, раздельным туннелированием, доступом с нулевым доверием и частными шлюзами.
      4. Windscribe Бюджетный вариант VPN для бизнеса с лучшими функциями безопасности, простыми в использовании приложениями и возможностью централизованного выставления счетов.Хорошая документация, но отсутствует поддержка 24/7.
      5. CyberGhost  Отличный сервис с безопасными приложениями, которые легко установить и начать работу. Одни из самых быстрых серверов, которые мы тестировали.
      6. IPVanish  Быстрые серверы с безопасным и надежным подключением. Удобные приложения. Предпочел бы круглосуточную поддержку.
      7. ExpressVPN Обширная сеть быстрых серверов. Высококачественное шифрование и даже отлично работает в Китае и ОАЭ. Не самый дешевый вариант в этом списке.

      Несмотря на то, что существует множество провайдеров, не все VPN-сервисы сопоставимы. Наши лучшие выборы лучших VPN для бизнеса оцениваются по следующим факторам:

      • Предлагает услуги, специально предназначенные для предприятий
      • Скорость и стабильность
      • Надежная защита
      • Количество одновременных подключений
      • Приложения для Android, iOS, Windows и MacOS

      Лучшие VPN для бизнеса

      апрель 2022 г.

      Периметр 81 — это специализированный бизнес VPN .Это позволяет предприятиям развертывать частные VPN-серверы, к которым сотрудники могут безопасно подключаться из любой точки мира. Вы можете легко управлять сетевой активностью всего своего персонала, не имеющего ИТ-степени, с онлайн-панели управления. Это позволит сотрудникам безопасно получать доступ к файлам, приложениям и другим ресурсам из удаленных мест.

      Perimeter 81 предназначен для предприятий с уникальными функциями безопасности, такими как сегментация сети, чтобы изолировать конфиденциальные данные от взлома. Если у вашей компании есть офисы в разных местах, вы можете настроить виртуальные частные сети между сайтами для соединения двух сетей.Облачные VPN обеспечивают удаленный доступ и могут быть легко расширены по мере необходимости.

      Все данные зашифрованы с помощью 256-битного AES. Если вы не развертываете собственный VPN, вы можете выбрать один из 700 общедоступных серверов в 36 точках по всему миру. Предприятия могут отслеживать доступ к VPN, регистрируя и проверяя весь трафик, проходящий через него.

      Приложения доступны для Windows, MacOS, Linux, iOS, Android и Chrome.

      Плюсы:

      • Специально для предприятий
      • Разверните свой собственный сервер или выберите один из общедоступных
      • Поддерживает VPN типа «сеть-сеть»
      • Хост-приложения и файлы на VPN-сервере
      • Надежное шифрование
      • Поддерживает сегментацию сети

      Минусы:

      • Не самый дешевый вариант в этом списке

      Лучший VPN для бизнеса: Perimeter 81 — наш выбор №1.«Advanced Cloud VPN» — это специальная функция, специально созданная для использования в бизнесе. Большая сеть быстрых серверов с широкими возможностями настройки. Подходит для большинства бизнес-целей и допускает 5 одновременных подключений. Включает 30-дневную гарантию возврата денег, так что вы можете попробовать его без риска.

      Купон Perimeter81

      Сэкономьте 20% на годовых планах

      Get Deal >

      Купон применяется автоматически


      Nord Teams — это бизнес-сервис NordVPN для малого и среднего бизнеса.Вы можете легко настроить безопасный удаленный доступ как к офисной сети, так и к Интернету. Каждой учетной записью пользователя можно управлять с единой централизованной панели управления. Вы можете туннелировать соединения с рабочих устройств через 33 разных страны. Добавление пользователей легко и не усложнит выставление счетов.

      Сторонняя проверка подлинности работает с GSuite, OneLogin, Okta и Azure. Приложения доступны для Windows, MacOS, iOS, Android и Linux. Надежное шифрование и аварийный выключатель обеспечивают постоянную защиту данных вашей организации.Nord Teams обещает помочь предприятиям, нуждающимся в поддержке, менее чем за три часа.

      Плюсы:

      • Быстрые и надежные соединения
      • 256-битное шифрование военного уровня для максимальной конфиденциальности
      • Строгая политика отсутствия журналов идеально подходит для пользователей, заботящихся о конфиденциальности
      • Неограниченная пропускная способность и отсутствие ограничений на передачу данных
      • Приложения для Windows, MacOS, iOS, Linux и Android

      Минусы:

      • Настольному приложению может потребоваться некоторое время, чтобы привыкнуть к

      ОТЛИЧНАЯ НИЗКАЯ СТОИМОСТЬ VPN: Nord Teams предлагает отличное соотношение цены и качества.Реальный претендент во всех категориях, имеет надежные функции безопасности, высокую скорость и простой биллинг для бизнеса.

      Вот наш полный обзор NordVPN.

      Командный купон NordVPN

      Сэкономьте 22% на годовом плане!

      Получить сделку >

      Скидка применяется автоматически


      Twingate — это новый бизнес VPN с некоторыми интересными функциями, которые отличают его от других в этом списке. Twingate — это облачный сервис, который отличается от традиционных VPN-решений благодаря контролю доступа с нулевым доверием и тому, что шлюзы становятся невидимыми для Интернета.Twingate можно развернуть без изменения сетевой инфраструктуры и легко масштабировать.

      Twingate поддерживает единый вход (SSO), поэтому сотрудники могут получить доступ только к тем ресурсам, которые им предоставили ИТ-администраторы. Это включает в себя облачные и локальные приложения и удаленные сети. Раздельное туннелирование позволяет трафику проходить через сеть только в случае необходимости, в то время как более интенсивные действия, такие как видеозвонки, проходят через прямое соединение.

      Плюсы:

      • Контроль доступа с нулевым доверием
      • Поддерживает большинство основных поставщиков единого входа (SSO)
      • Простота развертывания
      • Раздельное туннелирование

      Минусы:

      • Строго говоря, не VPN

      ПРОСТОЕ РАЗВЕРТЫВАНИЕ:Twingate — это надежное решение для удаленных команд, использующих систему единого входа.На момент написания статьи предлагается 14-дневная бесплатная пробная версия.

      Прочитайте наш полный обзор Twingate.

      Купон Twingate

      Сэкономьте 15% на годовом плане

      Get Deal >

      Скидка применяется автоматически


      Windscribe предлагает специальное предложение для команд и предприятий под названием ScribeForce . Это недорогая услуга, идеально подходящая для владельцев бизнеса с ограниченным бюджетом. Этот план предоставляет вам все функции плана Windscribe Pro, который включает доступ к более чем 600 серверам в более чем 50 странах.Вы также получаете централизованный биллинг и панель, с помощью которой вы можете настраивать и управлять всей своей командой.

      Windscribe предлагает высокую скорость и первоклассную безопасность. Он использует 256-битное шифрование с идеальной секретностью пересылки, аварийным выключателем и защитой от утечек DNS, IPv6 и WebRTC. Новая функция блокирует рекламу и вредоносное ПО на всех устройствах. Сервис не регистрирует никакой информации, которая может вас идентифицировать.

      Приложения

      доступны для Windows, MacOS, iOS и Android. В настоящее время в рамках каждого плана можно подключить неограниченное количество устройств.

      Плюсы:

      • Приложение имеет встроенный брандмауэр, который блокирует весь не-VPN-трафик во избежание утечки данных
      • Недорогой бюджетный вариант для бизнеса
      • Блокирует рекламу и вредоносное ПО на всех устройствах
      • Работает в Китае
      • Высокая скорость сервера и надежное соединение

      Минусы:

      • Отсутствие настоящего живого чата расстроит некоторых пользователей

      ЛУЧШИЙ БЮДЖЕТНЫЙ БИЗНЕС VPN: Windscribe демонстрирует хорошие скорости. Твердый для использования в бизнесе.Не хранит журналы и использует методы туннелирования для обеспечения безопасности и конфиденциальности. Не хватает настоящей поддержки 24/7. 3-дневная гарантия возврата денег.

      Ознакомьтесь с нашим полным обзором Windscribe.

      Купон Windscribe

      4,08 доллара США в месяц для годового плана

      Get Deal >

      Скидка применяется автоматически

      В штаб-квартире CyberGhost со штаб-квартирой в Румынии нет выделенной корпоративной VPN. Но он входит в список лучших VPN для бизнеса из-за его доступности и количества одновременных подключений в платных аккаунтах.

      Этот провайдер лихорадочно добавляет новые серверы. В настоящее время в 60 странах разбросано более 5000 серверов, но мы ожидаем, что в среднесрочной перспективе их число будет расти. Дополнительным преимуществом для бизнеса является то, что у него есть внутренняя политика, запрещающая хранить какие-либо журналы данных, поэтому содержание сообщений должно оставаться скрытым даже от системных администраторов компании. Существуют приложения для Android и iOS, а также поддержка настольных компьютеров для Windows, MacOS и Linux.Одна учетная запись позволяет пять одновременных подключений.

      Эта служба VPN по умолчанию использует 256-битное шифрование AES в протоколе OpenVPN вместе с 2048-битными ключами RSA и аутентификацией MD5 HMAC. Существует также переключатель отключения Интернета, который означает, что веб-трафик будет остановлен, если соединение неожиданно прервется.

      К одной учетной записи одновременно могут подключаться семь устройств.

      Плюсы:

      • Одни из самых быстрых серверов, которые мы тестировали
      • Переключатель Kill во всех приложениях и не ведет журналы
      • Бюджетный поставщик, который не ставит под угрозу безопасность и конфиденциальность
      • Приложения просты в установке и использовании

      Минусы:

      • Услуги, не относящиеся к бизнесу
      • Не подходит для тех, кому необходимо управление расширенными функциями

      ВЫБОР ДЛЯ НАЧИНАЮЩИХ: CyberGhost прост в использовании.Отличная конфиденциальность с нулевыми журналами и защитой от утечек DNS. Разблокирует популярные потоковые платформы и сервисы с ограниченным доступом. 45-дневная гарантия возврата денег.

      Вот наш полный обзор CyberGhost.

      Купон CyberGhost

      СКИДКА 82% на 3-летний план

      Get Deal >

      Скидка применяется автоматически

      IPVanish продолжает придерживаться политики нулевого ведения журналов. Он сочетает в себе это с жесткими протоколами шифрования и акцентом на высокую скорость, чтобы в целом предоставить надежный продукт.

      На данный момент по всему миру разбросано более 1900 серверов с приличным выбором на каждом континенте. Стандарты шифрования также впечатляют. IPVanish использует 256-битное шифрование по протоколу OpenVPN по умолчанию, аутентификацию SHA512 и обмен ключами DHE-RSA с 2048-битным ключом с идеальной секретностью пересылки. Выключатель интернета доступен во всех клиентах.

      Существуют приложения для iOS и Android, а также настольные программы для Windows и MacOS. Одна учетная запись позволяет пять одновременных подключений.

      Плюсы:

      • Впечатляющие скорости и надежные соединения
      • Достаточно обширная база знаний доступна для поиска на веб-сайте компании
      • Защита от утечек DNS и IPv6, обфускация трафика и аварийный переключатель — все это встроено в
      • .

      Минусы:

      • Услуги, не относящиеся к бизнесу
      • Ищите в другом месте, если вам нужно использовать приложения в Китае
      • Не предлагает никаких расширений браузера

      БЫСТРО И НАДЕЖНО: IPVanish имеет большую сеть серверов.Неперегруженная сеть достигает хороших скоростей. Мощные функции безопасности и конфиденциальности. Не могли бы сделать с живой поддержки клиентов. 30-дневная гарантия возврата денег.

      Прочитайте наш полный обзор IPVanish.

      Купон IPVanish

      СКИДКА 63% на годовой план + бонус VIPRE Advanced Security AV

      Get Deal >

      Скидка применяется автоматически

      ExpressVPN имеет тысячи серверов, разбросанных по 94 странам, что означает, что это хороший выбор для сотрудников, которым приходится часто путешествовать или работать удаленно.Самый большой выбор в Европе, Северной Америке и Азиатско-Тихоокеанском регионе с меньшим количеством в Африке и на Ближнем Востоке.

      Услуга VPN является фаворитом среди пользователей, поскольку она предлагает высокую скорость в сочетании с шифрованием военного уровня. Пользователи, заботящиеся о конфиденциальности, будут довольны тем, что ExpressVPN не хранит журналы трафика. Единственный крошечный фрагмент сохранения метаданных относится к дате (не времени) подключения, выбору местоположения сервера и общей используемой пропускной способности.

      Помогает то, что штаб-квартира ExpressVPN находится на Британских Виргинских островах, и поэтому она не обязана соблюдать какие-либо законы об обязательном хранении данных.Это означает, что он также находится вне юрисдикции западных государственных органов.

      Стандарты шифрования являются строгими. Провайдер использует 256-битный AES-CBC в качестве протокола шифрования по умолчанию, а также аутентификацию HMAC и полную секретность пересылки. В комплект входит переключатель отключения Интернета, который компания называет «блокировкой сети».

      Однако это не очень щедро, когда речь идет об одновременных подключениях, поскольку в одном плане разрешено не более трех устройств.

      Приложения

      доступны как для iOS, так и для Android, а также настольное программное обеспечение для Windows, MacOS и Linux.

      Плюсы:

      • Высокая скорость загрузки и потокового видео
      • Надежная конфиденциальность и безопасность
      • Отличные возможности для разблокировки контента с географической блокировкой

      Минусы:

      • Услуги, не относящиеся к бизнесу
      • Немного дороже некоторых других вариантов
      • Опытные пользователи могут обнаружить, что расширенные параметры ограничены

      ВЕЛИКОЛЕПНЫЙ УНИВЕРСАЛЬНЫЙ УСТРОЙСТВО: ExpressVPN удерживает свои позиции.Быстрый и надежный выбор, который уверенно разблокирует большинство сайтов с ограниченным доступом. Отличные функции конфиденциальности и отсутствие журналов. Одна из немногих VPN, работающих в Китае и ОАЭ. Если вам нужно более 3 одновременных подключений, посмотрите этот список выше. 30-дневная гарантия возврата денег.

      Вот наш подробный обзор ExpressVPN.

      Купон ExpressVPN

      СОХРАНИТЬ: 49% от годового плана

      Get Deal >

      Купон применяется автоматически


      Поиск лучших VPN для бизнеса: наша методология

      На рынке может быть много VPN, но многие из них просто не подходят для малого и среднего бизнеса.Наша методология поиска лучших VPN для бизнеса включала поиск тех, которые обеспечивают следующее:

      • Бизнес-ориентированный: Большинство VPN на рынке ориентированы на частных лиц, а не на предприятия. Мы искали тех, кто предлагает услуги специально для бизнеса. Например, мы понимаем, что вам может понадобиться разместить ресурсы, к которым персонал может безопасно получить удаленный доступ.
      • Скорость: Время — деньги, поэтому скорость VPN становится еще более важной.Тестируя каждую бизнес-VPN на себе, мы можем определить уровень ее производительности. Мы ищем самые быстрые VPN, все из которых должны включать неограниченную пропускную способность. Это позволяет ускорить передачу файлов и подключение к удаленным серверам компании.
      • Разблокировка: К сожалению, в сети много географических ограничений. Сюда входят популярные новостные сайты и онлайн-банкинг. Если вы хотите, чтобы ваша команда имела доступ ко всей одной и той же информации, вам нужна VPN с мощной разблокирующей способностью для обхода этих ограничений.
      • Безопасность: Взломы, вирусы и утечка данных — это лишь некоторые из угроз безопасности, с которыми ваш бизнес сталкивается ежедневно. Мы ищем каждую VPN, которую мы рекомендуем, чтобы предложить как минимум высококачественное шифрование и защиту от утечек. Однако многие из лучших VPN для бизнеса предлагают гораздо больше.
      • Конфиденциальность: VPN, которую вы используете, должна использовать политику отсутствия журналов. Это означает, что он не ведет журналы идентификации пользователей, защищая конфиденциальность не только вашего бизнеса, но и всего персонала, использующего его.Однако не каждому VPN можно доверять. Вот почему мы рассмотрели более 140 политик ведения журнала VPN, чтобы найти лучшую.
      • Простота использования: От настройки VPN в первый раз до добавления или удаления пользователей — процесс должен быть простым. Лучшие VPN для бизнеса предлагают удобные приложения для начинающих и круглосуточную поддержку через чат и электронную почту. Кроме того, нет недостатка в руководствах по настройке и устранению неполадок, если они вам понадобятся.
      • Соотношение цены и качества: Хорошей новостью является то, что лучшие виртуальные частные сети для бизнеса предлагают множество вариантов на любой бюджет.Ваш бизнес может сэкономить еще больше, если вы воспользуетесь одним из купонов на скидку VPN, которые мы предоставили в этом посте. Более того, вы можете попробовать VPN без риска, потому что каждый из них включает гарантию возврата денег.

      Часто задаваемые вопросы о бизнес-VPN

      Зачем мне бизнес-VPN?

      Предприятия могут использовать VPN для двух основных целей: безопасный доступ в Интернет и подключение к серверу компании, где сотрудники могут безопасно получать доступ к файлам, приложениям и другим ресурсам компании.

      VPN создает зашифрованное соединение через Интернет между двумя устройствами, обычно между смартфоном или ноутбуком и сервером.Шифрование не позволяет третьим сторонам, таким как хакеры, правительства и интернет-провайдеры, отслеживать данные, когда они проходят между этими двумя устройствами. Это особенно полезно для удаленных сотрудников, которым необходим безопасный доступ в Интернет из незащищенных сетей в отелях, аэропортах и ​​кафе.

      VPN также позволяет сотрудникам безопасно получать доступ к файлам, документам, приложениям, принтерам и другим ресурсам на сервере VPN, как если бы они находились в локальной сети. Например, сотрудник может подключиться к приложению на сервере VPN, чтобы писать и редактировать документы, даже не загружая эти документы на свое устройство.

      Как настроить VPN для своего бизнеса?

      Настроить VPN довольно просто. Сотрудникам необходимо будет загрузить приложение провайдера VPN на свой ноутбук и/или смартфон. Затем они могут использовать приложение для подключения к VPN-серверу, который будет шифровать все данные, прежде чем они покинут устройство.

      Если у вас есть собственный VPN-сервер, вы можете хранить на нем файлы или размещать приложения, к которым сотрудники могут получить доступ только при подключении. Вам понадобится какой-то способ управления учетными данными пользователя — либо пароли, либо какой-либо другой ключ.К счастью, бизнес-ориентированные VPN, которые мы рекомендуем выше, позаботятся обо всем этом за вас.

      Должен ли я использовать бесплатную бизнес-VPN?

      Бесплатный VPN-сервис кажется привлекательным вариантом для компаний, желающих сократить расходы и избежать ненужных накладных расходов. Но мы должны предупредить вас, что этот процесс сопряжен со значительной степенью риска.

      Бесплатные VPN

      не будут иметь разбросанных по всему миру больших серверных сетей, строгих стандартов шифрования или быстрых соединений, которые являются основным продуктом платных опций.Слабое шифрование означает, что ваш бизнес может быть подвержен попытке взлома и реальной угрозе потери данных. Низкая скорость приведет к увеличению времени ожидания для передачи файлов или подключения к удаленным серверам компании.

      В некоторых случаях бесплатные службы VPN также принудительно вставляли отслеживающие файлы cookie, извлекали пользовательские данные и продавали их рекламодателям с целью получения прибыли. Мы почти уверены, что вы не хотели бы, чтобы это случилось с вашими сотрудниками, поэтому мы считаем, что в ваших интересах пропустить их.

      Как VPN защищают удаленных сотрудников?

      Интернет помог разрушить барьеры в общении, сблизить людей и демократизировать доступ к информации. Предприятия больше не ограничены талантами, доступными в их городе: они могут искать сотрудников по всему миру и использовать удаленных сотрудников для масштабирования.

      Такие тенденции сейчас набирают популярность. В настоящее время, по оценкам, около 2,8% мировой рабочей силы сейчас работает из дома. Эта цифра представляет собой увеличение на 105% по сравнению с 2005 годом.А после пандемии COVID-19 спрос на удаленную работу, скорее всего, возрастет.

      Для компаний, которые нанимают удаленных сотрудников, очень важно, чтобы их данные были защищены и зашифрованы. Это защищает его от любых вредоносных объектов, которые могут пытаться шпионить за вами. VPN поможет в значительной степени снизить эти риски.

      В то же время сотрудники выезжают на выездные встречи, торговые визиты и другие деловые нужды. Они могут подключаться к общедоступному Wi-Fi в кафе, торговых центрах, отелях или кафе.Такие сети не считаются невероятно безопасными. Сотни людей подключены в любой момент времени, что представляет угрозу безопасности.

      Прочтите наше руководство о том, как безопасно и надежно пользоваться общедоступными сетями Wi-Fi.

      Еще одним фактором, который следует учитывать, является растущая угроза киберпреступности, особенно корпоративного шпионажа. Наиболее распространенными способами достижения этого являются кража электронной почты и кредитных карт, когда хакеры стремятся нацелиться на самые слабые звенья в цепочке. В основном это сотрудники, которые используют свои личные телефоны для рабочих задач, а также другие незащищенные устройства, подключенные к сети.

      По данным лаборатории Alcatel-Lucent Motive Security Labs, в 2014 году более 16 миллионов мобильных устройств по всему миру были заражены вредоносным ПО. В том же году компании потеряли более 400 миллиардов долларов США из-за киберпреступности. Обычно хакеры пытаются использовать смартфоны как способ входа в систему. Оттуда они могут взламывать брандмауэры и проводить атаки типа «отказ в обслуживании» для кражи данных.

      Под удар попадают не только крупные компании, но и малый бизнес.Отчет Malwarebytes о программах-вымогателях показал, что 22% малых предприятий, пострадавших от атак программ-вымогателей, были вынуждены немедленно прекратить свою деятельность.

      В таком сценарии имеет смысл ежемесячно выкачивать несколько долларов, чтобы обезопасить свой бизнес. Если у ваших сотрудников на ноутбуках и телефонах установлены VPN-приложения, вам будет легче спать по ночам.

      На что обратить внимание при выборе VPN для бизнеса?

      Во-первых, мы рекомендуем вам использовать VPN, предназначенную специально для бизнеса.Это обеспечит необходимую функциональность и безопасность, а также соответствие нормативным требованиям.

      Компании должны учитывать несколько факторов при выборе различных вариантов VPN:

      • Облако или собственный хостинг ? Большинство VPN, которые мы рекомендуем выше, работают в облаке. Это значительно упрощает их настройку, управление и масштабирование. Вы можете размещать файлы и приложения на облачном VPN-сервере, к которому сотрудники могут получить удаленный доступ с помощью приложений VPN. Кроме того, вы можете разместить свой собственный VPN-сервер либо в облаке, либо на месте, но знайте, что для этого потребуются дополнительные ИТ-ресурсы и опыт.
      • Хорошая приборная панель . Это может показаться поверхностным, но хорошо продуманная панель управления для управления учетными записями VPN и привилегиями доступа в вашем бизнесе будет иметь большое значение для обеспечения связи и безопасности сотрудников.
      • Site-to-site : VPN могут использовать не только сотрудники. Вы также можете создать безопасный туннель между двумя сетями с помощью VPN. Это называется VPN типа «сеть-сеть», и это полезно, например, для предприятий с несколькими офисами.
      • Масштабируемость : Если вы планируете нанимать новых сотрудников, убедитесь, что ваш VPN не отстает. Добавление и удаление доступа и учетных записей к серверу VPN должно быть простым. Следите и за ценой.
      • Безопасность : Это само собой разумеется, но обязательно выберите безопасный VPN. Это означает надежное шифрование, предотвращение утечек, аутентификацию и политику отсутствия журналов от провайдера VPN. Обратите внимание на такие функции, как двухфакторная аутентификация, идеальная секретность пересылки и современные протоколы VPN с открытым исходным кодом.
      • Сегментация : Разделив сеть на более мелкие части, вы сможете лучше защитить важные данные, сохраняя при этом доступ к другим файлам и приложениям.
      • Поддержка : Если вы выбираете одну из рекомендованных нами VPN, вы, вероятно, не сертифицированы как сетевой администратор. Это означает, что вы можете столкнуться с проблемами, для решения которых вам понадобится помощь. Обязательно выберите VPN со знающей и быстрой — предпочтительно живой — поддержкой клиентов. Некоторая поддержка ограничена рабочими часами страны, в которой базируется VPN, поэтому обязательно проверьте, когда поддержка доступна.

      Альтернативы VPN для бизнеса

      Для корпоративных сред VPN может оказаться не самым подходящим решением. Для соединений site-to-site между географически удаленными офисами и центрами обработки данных в частности существует несколько более современных альтернатив:

      • MPLS, или многопротокольная коммутация по меткам, направляет данные с использованием меток вместо общедоступных IP-адресов. Он делает возможным приоритизацию трафика, менее уязвим для небезопасного поиска IP-адресов и, как правило, имеет меньшую задержку, чем VPN типа «сеть-сеть».
      • ЗТНА. Решения Zero Trust Network Access работают на уровне приложений и, в отличие от VPN, не зависят от сети. Вместо этого пользователи напрямую подключаются к приложениям на основе проверки пользователя и состояния устройства. Приложения скрыты от Интернета, что снижает поверхность атаки. Это схема, используемая Twingate.
      • Облачный VPN. Облачные VPN, настроенные с использованием SD-WAN (программно-определяемой сети), могут быть быстрее, безопаснее и требуют меньше обслуживания, чем традиционные VPN.Облачные VPN SD-WAN лучше всего реализуются с помощью SASE или границы службы безопасного доступа, которая дает организации единое централизованное представление всей сети.
      • Выделенные каналы, также известные как выделенные каналы, представляют собой постоянные и частные соединения между двумя или более точками. Арендованные каналы дороги и применимы только к очень крупным предприятиям.

      Некоторые VPN, которых следует избегать

      Когда вы выбираете бизнес-VPN, вы хотели бы думать, что провайдер сделает все возможное, чтобы защитить данные и защитить вашу компанию от внешних угроз.Поставщики VPN несут моральную ответственность за выполнение своей части сделки. Но не все компании придерживаются этого принципа — мы считаем, что вам следует воздерживаться от его использования.

      1. HolaVPN

      Израильская компания Hola, которая использовала бесплатное одноранговое VPN-расширение для Chrome, когда-то имела базу пользователей почти в 50 миллионов человек. К сожалению, он использовал машины, на которых был установлен, как пешки в огромной армии ботнетов.

      Часть индивидуальной пропускной способности пользователей Hola использовалась для участия в таких вещах, как распределенные атаки типа «отказ в обслуживании» (DDoS), продвижение пиратского контента и распространение порнографии.И это без какого-либо согласия пользователя.

      2. Беттернет

      Betternet показывает, почему вам следует держаться подальше от бесплатных VPN. Было обнаружено, что он содержит вредоносное ПО, нарушает собственную политику конфиденциальности и перенаправляет пользователей на веб-страницы, где он мог получить прибыль. Он регистрировал информацию о пользователях, чтобы показывать им рекламу от третьих лиц.

      Вдобавок ко всему, скорость низкая, а серверы ненадежны. Betternet мало что может предложить потребителям, и еще меньше — бизнесу.

      3. Чистый VPN

      СМИ сообщают, что известный платный VPN-провайдер PureVPN сотрудничал с ФБР, чтобы идентифицировать жителя Массачусетса Райана Лина, который, как полагают, преследует неназванную 24-летнюю женщину.

      Райан якобы использовал PureVPN, чтобы замести следы, пытаясь шантажировать женщину. ФБР подключило PureVPN после того, как была подана жалоба.

      Со своей стороны, PureVPN настаивает на том, что она не записывала содержимое сообщений Райана при подключении к своим серверам, но до этого эпизода компания хвасталась политикой «отсутствия журналов».

       

      АВС VPN | Цены | Веб-сервисы Amazon (AWS)

      Цены на AWS Site-to-Site VPN и ускоренное VPN-подключение Site-to-Site

      {{loc-currency vpc/vpc.[CreateVpnConnection per Hrs].[price]}}{{else}}>{{loc-message «N/A»}}{{/if}} за Site-to- VPN-подключение к сайту в час

      При передаче данных через AWS Site-to-Site VPN взимается плата за передачу данных, которая описана на странице цен на EC2 по запросу.

      Цены на ускоренные VPN-подключения Site-to-Site:

      Если вы включите ускорение при создании подключения AWS Site-to-Site VPN к Amazon VPC, цены на подключение Site-to-Site VPN будут применяться, как указано выше. Вы также будете нести почасовую плату за два Global Accelerators за одно VPN-подключение и плату за передачу исходящих данных Premium (DT-Premium). DT-Premium зависит от источника (регион AWS) и места назначения (пограничное местоположение).См. Страница с ценами на AWS Global Accelerator. С вас не будет взиматься плата за AWS Global Accelerator за неускоренные VPN. {{#if vpc/vpc.[Почасовая оплата за клиентские конечные точки VPN за час]}} {{/if}} {{#если vpc/vpc.[Почасовая оплата за клиентские VPN-подключения за час]}} {{/if}}
      Цена
      Ассоциация конечных точек клиентской VPN AWS ​​ {{loc-currency vpc/vpc.[Почасовая оплата за клиентские конечные точки VPN за час].[ price]}}{{else}}>{{loc-message «N/A»}}{{/if}} в час
      AWS Client VPN-подключение {{loc-currency vpc/vpc.[Почасовая оплата за клиентские VPN-подключения за час].[price]}}{{else}} >{{loc-message «N/A»}}{{/if}} в час

      В AWS Client VPN плата взимается за количество активных клиентских подключений в час и количество подсетей, связанных с Client VPN, в час. Вы начинаете с создания конечной точки Client VPN и связывания подсетей с этой конечной точкой.Вы можете связать несколько подсетей из Amazon Virtual Public Cloud (Amazon VPC) с конечной точкой Client VPN, если все они являются частью одной и той же учетной записи AWS. Каждая подсеть, связанная с конечной точкой Client VPN, должна принадлежать к другой зоне доступности, и мы будем выставлять счет владельцу учетной записи Amazon VPC. Выставление счетов начинается после установления связи с подсетью, и каждый неполный час использования рассчитывается пропорционально часу. Следующим шагом является подключение пользователей к конечной точке Client VPN. Это может происходить динамически, поскольку пользователям нужна услуга, и с вас взимается дополнительная плата в зависимости от количества активных клиентов, подключенных к конечной точке Client VPC, в час.Любое клиентское соединение, которое длится менее часа, также рассчитывается пропорционально часу.

      Пример ценообразования: VPN-клиент AWS

      Вы создаете конечную точку VPN клиента AWS в регионе Восток США (Огайо) и связываете ее с одной подсетью. Затем вы создаете 10 клиентских VPN-подключений к конечной точке AWS Client VPN. Эти соединения активны в течение одного часа.

      • Почасовая плата за конечную точку AWS Client VPN : Для этого региона AWS вы платите 0,10 доллара США в час в виде почасовой оплаты за конечную точку AWS Client VPN.
      • Почасовая плата за VPN-подключение клиента AWS : Десять подключений VPN-клиента AWS были активны в течение 1 часа. Вы платите 0,50 доллара США в час в качестве платы за подключение AWS Client VPN.

      В этом сценарии вы платите 0,60 доллара США в час за VPN-клиент AWS.

      Как настроить SSL VPN/NetExtender для клиентов с пересекающимися подсетями?

      14.10.2021 480 человек считают эту статью полезной 119 616 просмотров

      Описание


      SSL VPN или NetExtender позволяет нам получить доступ к корпоративным подсетям SonicWall LAN через Интернет с помощью защищенного VPN-туннеля.Иногда подсеть SonicWall LAN и IP-адрес клиента, на котором установлен NetExtender, перекрываются, и в таком случае доступ к ресурсам SonicWall LAN невозможен.

      В этой статье объясняется один из способов решения этой проблемы. Решение включает в себя настройку виртуальной или фиктивной подсети с той же маской подсети, что и у подсети SonicWall LAN, которая будет выполнять преобразование один к одному (NAT) виртуальных IP-адресов в IP-адрес SonicWall LAN.


      ПРИМЕР: Давайте рассмотрим следующую схему IP для целей статьи.

      1. Подсеть SonicWall LAN 192.168.1.0 маска 255.255.255.0.
      2. Подсеть LAN компьютера, на котором установлен NetExtender/Mobile connect 192.168.1.0 маска 255.255.255.0.
      3. Пул IP-адресов SSLVPN, используемый для виртуального адаптера NetExtender, маска 10.1.1.0 255.255.255.0
      4. Виртуальная или фиктивная подсеть, используемая для отправки трафика по маске 10.10.10.0 255.255.255.0

      . Функция SSL-VPN для использования с NetExtender или Mobile Connect? для настройки SSL-VPN.

      Причина


      Перекрытие IP-подсети между SonicWall LAN и IP-схемой клиентского компьютера.

      Разрешение


      Разрешение для SonicOS 7.X

      Этот выпуск включает в себя значительные изменения пользовательского интерфейса и множество новых функций, которые отличаются от встроенного ПО SonicOS 6.5 и более ранних версий. Приведенное ниже разрешение предназначено для клиентов, использующих прошивку SonicOS 7.X.

      Создание адресного объекта для пула IP-адресов SSL VPN

      Диапазон IP-адресов, используемый для пула IP-адресов SSLVPN , не должен конфликтовать со схемой IP, присутствующей на SonicWall или на стороне клиента.Здесь используется подсеть 10.1.1.0/24.

      1. Войдите в систему SonicWall UTM.
      2. Перейти к ОБЪЕКТ| Сопоставьте объекты | Адреса.  Нажмите  Добавить  , чтобы создать адресный объект для пула IP-адресов SSL VPN.
      • Имя: SSLVPN IP Pool (любое дружественное имя, как вы хотите, но необходимо выбрать при настройке SSLVPN)
      • Зона: SSLVPN
      • Тип: Network
      • Тип: .1.1.0
      • Длина сетевой маски/префикса:  255.255.255.0

      Укажите объект адреса в настройках клиента SSLVPN следующим образом: SSL VPN | Настройки клиента,  нажмите Изменить .

    • Укажите объект адреса в параметре Сетевой адрес IPv4 на вкладке Настройка.


    • Создайте объект адреса Virtual LAN Subnet с зоной LAN.
    • Укажите объект адреса Подсети виртуальной локальной сети в маршрутах клиента SSL VPN
    • Добавьте объект адреса подсети виртуальной локальной сети в доступ к VPN локальной группы служб SSLVPN.

      1. Перейдите к УСТРОЙСТВО | Пользователи| Местные группы| Службы SSLVPN и объект адреса в доступе VPN этой группы.
      2. Этот шаг необходим для того, чтобы клиентский компьютер имел маршрут и доступ к виртуальной подсети.

      Создание политики NAT.

      1. Перейдите к ПОЛИТИКА | Правила и политика | Правила NAT . Нажмите Добавить.
      2. Эта политика Nat позволяет транслировать виртуальную/фиктивную сеть в фактическую сеть SonicWall LAN.
             


      Создание правила доступа.

      1. Перейти к  ПОЛИТИКА | Правила и политика | Правила доступа.
      2. На странице SSLVPN to LAN создайте следующее правило доступа.
      • SSLVPN> LAN
      • Источник : SSLVPN IP Pool
      • Назначение : Virtual LAN Subnet
      • Услуги : Любой
      • Действие : Разрешить


      Как проверить

      • Когда пользователи NetExtender/Mobile Connect с перекрывающейся сетью попытаются получить доступ к SonicWall LAN, они должны использовать IP-адрес из виртуальной/фиктивной IP-подсети. Например, клиентский компьютер с NetExtender IP- 10.1.1.1  пытается получить доступ к серверу, используя виртуальный IP-адрес 10.10.10.65. . Когда этот трафик достигает устройства SonicWall, он преобразует IP-адрес назначения из 10.10.10.65 в 192.168.1.65 (фактический IP-адрес локальной сети) , а правило доступа разрешает трафик из SSLVPN в зону локальной сети.

      Разрешение для SonicOS 6.5

      Этот выпуск включает значительные изменения пользовательского интерфейса и множество новых функций, которые отличаются от встроенного ПО SonicOS 6.2 и более ранних версий. Приведенное ниже разрешение предназначено для клиентов, использующих SonicOS 6.5 прошивка.

      Создание адресного объекта для пула IP-адресов SSL VPN

      Диапазон IP-адресов, используемый для пула IP-адресов SSLVPN , не должен конфликтовать со схемой IP, присутствующей на SonicWall или на стороне клиента. Здесь используется подсеть 10.1.1.0/24.

      1. Войдите в устройство SonicWall UTM,
      2. Перейдите к  Управление | Объекты | Адресные объекты. Нажмите Добавить , чтобы создать адресный объект для пула IP-адресов SSL VPN.
      • Имя: SSLVPN IP Pool (любое дружественное имя, как вы хотите, но необходимо выбрать при настройке SSLVPN)
      • Зона: SSLVPN
      • Тип: Network
      • Тип: .1.1.0
      • Длина сетевой маски/префикса: 255.255.255.0

      Укажите объект адреса в настройках клиента SSLVPN следующим образом

        SSL VPN | Настройка клиента,

        нажмите Настроить.
      1. Укажите объект адреса в параметре Сетевой адрес IPv4 на вкладке Настройка.
      2. Создайте объект адреса Virtual LAN Subnet с зоной, являющейся LAN.

      Укажите объект адреса подсети виртуальной локальной сети в маршрутах клиента SSL VPN.

      1. Перейти к Управление | Пользователи| Местные группы| SSLVPN services и объект адреса в VPN-доступе этой группы.
      2. Этот шаг необходим для того, чтобы клиентский компьютер имел маршрут и доступ к виртуальной подсети.


      Создание политики NAT.

      1. Перейдите к управлению | Политика | Правила | Политики NAT. Щелкните Добавить.
      2. Эта политика Nat позволяет транслировать виртуальную/фиктивную сеть в реальную сеть SonicWall LAN.


      Создание правила доступа.

      1. Перейти к  Управление | Политика | Правила | Правила доступа.
      2. На странице SSLVPN to LAN создайте следующее правило доступа.
      • SSLVPN> LAN
      • Источник : SSLVPN IP Pool
      • Назначение : Virtual LAN Subnet
      • Услуги : Любой
      • Действие : Разрешить

      Как проверить

      • Когда пользователи NetExtender/Mobile Connect с перекрывающейся сетью попытаются получить доступ к SonicWall LAN, они должны использовать IP-адрес из виртуальной/фиктивной IP-подсети. Например, клиентский компьютер с NetExtender IP- 10.1.1.1  пытается получить доступ к серверу, используя виртуальный IP-адрес 10.

    Добавить комментарий

    Ваш адрес email не будет опубликован.