Не так давно мы публиковали в нашем блоге материал , посвященный обзору программных реализаций VPN, вызвавший довольно бурную дискуссию.
Тогда мы пообещали подготовить вторую часть: на этот раз мы рассмотрим следующие программные решения для создания виртуальных частных сетей: AnyConnect VPN, OpenConnect VPN, SoftEther VPN, Tinc. 
/ Фото Дэйв Кросби СС
AnyConnect VPN
Изучая продукты, которые предлагает Cisco, довольно сложно не заметить слова «Any Connect» — за этим названием скрывается решение, разработанное вендором как VPN-клиент «нового поколения».И он предлагает несколько расширенных функций для защиты компьютеров компании.
Например, продукт обеспечивает полный доступ к сети на основе SSL (TLS и DTLS) и IPsec, что позволяет удаленным клиентам подключаться практически к любому приложению или сетевому ресурсу, и поэтому часто используется организациями для расширения доступа к корпоративным ноутбукам.
Подключение осуществляется с помощью клиента Cisco AnyConnect Secure Mobility Client, L2TP/IPsec VPN и IPsec VPN. Решение автоматически настраивает протокол туннелирования в зависимости от сетевых ограничений и использует DTLS для оптимизации пропускной способности трафика, такого как доступ к приложениям VoIP или TCP. Делая SSL-шифрование обычным в браузерах, AnyConnect обеспечивает удаленный доступ без клиента, позволяя вам получать доступ к сетевым ресурсам, веб-приложениям и приложениям служб терминалов (таким как Citrix) независимо от их местоположения.
AnyConnect умеет определять операционную систему, а также установленные на клиенте антивирусы и межсетевые экраны, прежде чем устанавливать удаленное соединение, что также положительно влияет на безопасность.
Дополнительно стоит упомянуть возможности телеметрии.
Система собирает информацию о происхождении вредоносного контента, обнаруженного антивирусным программным обеспечением, которую можно использовать для повышения безопасности сети путем изменения правил фильтрации URL-адресов.
OpenConnect VPN
OpenConnect — это приложение VPN «точка-точка» с открытым исходным кодом, которое изначально было написано в качестве замены проприетарного клиента Cisco AnyConnect SSL VPN. Причиной разработки стал ряд недостатков, обнаруженных в решении Cisco для Linux: отсутствие поддержки архитектур, отличных от i386 (для платформ Linux), отсутствие интеграции с NetworkManager, отсутствие грамотной поддержки форматов пакетов RPM и DEB, невозможность работать как непривилегированный пользователь, закрытый код и т.д. OpenConnect (ocserv) был разработан как небольшой, безопасный и быстрый VPN-сервер.Он поддерживает протокол OpenConnect SSL VPN и совместим с клиентами, использующими протокол AnyConnect SSL VPN — при этом используются стандартные протоколы передачи данных TLS и DTLS. Более того, OpenConnect обеспечивает двойной VPN-канал TCP/UDP и может работать со стандартными протоколами безопасности IETF. Подключение происходит в два этапа.
Сначала устанавливается простое HTTPS-соединение, посредством которого пользователь аутентифицируется (с использованием сертификата, пароля или SecureID).
После аутентификации пользователь получает файл cookie, который используется для установления VPN-соединения.
Одной из основных функций ocserv является разграничение привилегий пользователей с целью повышения безопасность и отказоустойчивость, которая достигается за счет совместного использования TCP и UDP.
SoftEther VPN
Дайю Нобори начал разрабатывать SoftEther VPN, когда начал учебу в Университете Цукубы.В 2003 году он выпустил первую версию SoftEther, но получил предупреждение от правительства Японии, которое посчитало, что проект подпадает под определение вредоносного ПО из-за его способности обходить межсетевые экраны.
В результате SoftEther был удален из публичного доступа.
Через некоторое время — в апреле 2004 года — Mitsubishi Materials Corporation предложила Нобори купить SoftEther 1.0 и подписать контракт на 10 лет (с апреля 2004 года по апрель 2014 года), который давал корпорации право продавать SoftEther и запрещал автору продавать программу.
сам.
Однако в марте 2013 года Nobori начала распространять решение бесплатно, а в январе 2014 года оно было открыто под лицензией GPLv2. SoftEther VPN — еще одно мощное и простое решение VPN. SoftEther VPN совместим с современными популярными продуктами VPN: OpenVPN, L2TP, IPsec, EtherIP, L2TPv3, маршрутизаторами Cisco VPN и MS-SSTP VPN. Имеет версии для Windows, Linux, OS X, FreeBSD и Solaris. Программное обеспечение состоит из сервера, сервера-моста, клиента, графического интерфейса и утилит администрирования.
Клиент нужен для подключения одного компьютера к локальной сети ( VPN с удаленным доступом ), а мост-сервер используется для соединения двух или более сетей ( Межсайтовый VPN ).
Стоит отметить, что при использовании второго варианта отпадает необходимость отдельно настраивать параметры подключения для каждого конкретного клиентского устройства — достаточно настроить один VPN-шлюз на стороне каждой из подключаемых сетей.
Кстати, мы подготовили небольшое практическое руководство по настройке Site-to-Site VPN — его можно найти по адресу связь .
SoftEther VPN позволяет определить местный мост между виртуальным хабом и физическим сегментом Ethernet с использованием функции Local Bridge, что дает возможность обмениваться пакетами между физическим адаптером и виртуальным хабом, а это, в свою очередь, позволяет настроить удаленный туннель из дома или с мобильного устройства.
Также вы можете установить каскад соединение между двумя или более удаленными виртуальными концентраторами с целью объединения двух или более сегментов Ethernet в один.
Не забывайте о поддержке средства для обхода межсетевых экранов и систем глубокой проверки пакетов, которые несколько лет назад вызвали недовольство японского правительства.
Чтобы затруднить обнаружение туннеля, SoftEther VPN поддерживает технику замаскированной переадресации Ethernet через HTTPS, при этом на стороне клиента реализован виртуальный Ethernet-адаптер, а на стороне сервера — виртуальный коммутатор Ethernet. С момента публикации бинарной версии SoftEther VPN Server произошли записано более 80 тысяч успешных внедрений серверов, большая часть из которых находится в Японии, США и Китае.
Тинк
Tinc — это демон VPN и один из претендентов на звание самой маленькой и простой в настройке реализации VPN. Проект стартовал довольно давно, еще в 1998 году, и активная разработка продолжается по сей день, но, несмотря на это, Тинк выглядит зрелым продуктом.Он позволяет подключать компьютеры через сети IPv4/IPv6, работающие такой Операционные системы, такие как Linux, BSD, Mac OS X, Solaris, Windows. Кроме того, он работает на iPhone и iPod. У Tinc есть несколько интересных особенностей.
Весь трафик опционально сжимается с помощью zlib или lzo, а для шифрования используется LibreSSL или OpenSSL — это позволяет защитить передаваемые данные от изменений.
Интересно, что независимо от того, как настроены демоныtinc, VPN-трафик по возможности направляется напрямую к месту назначения без каких-либо «крючков», а введение новых узлов осуществляется простым добавлением файла конфигурации — нет необходимости запускать новые демоны.
или создать новые устройства.
На сегодняшний деньtinc доступен в репозиториях большинства дистрибутивов, а установочный пакет для Windows можно скачать скачать на официальном сайте.
Разработчики взяли курс на упрощение процесса установки и настройки систем на базеtinc, и в документации к Веб-сайт отражены все важные вопросы, включая особенности установки в различных операционных системах.
Вместо заключения
Для развертывания VPN в своей инфраструктуре вы всегда можете воспользоваться услугами сторонних VPN-провайдеров, однако стоит отметить, что их услуги стоят недешево, особенно если вам необходимо подключить к сети сразу большое количество клиентов..
При этом провайдер получает ваши корпоративные и персональные данные — не каждая компания готова пойти на такой шаг.
Более надежным и гибким решением видится самостоятельная настройка виртуальных частных сетей на физических или виртуальных серверах ( ВПС/ВДС ).
К счастью, в Интернете есть большое количество подробных инструкций.
Ваша собственная версия с использованием облака VPS/VDS серверы от 1cloud мы также предлагаем (для Окна и для Линукс ).
Это решение легко масштабируется под текущую нагрузку виртуальной частной сети.
P.S. Если вам интересно, мы готовы поделиться опытом разработки.
Вот несколько интересных материалов, которые мы подготовили:
- Мифы об облачных технологиях.
Часть 1
- Мифы об облачных технологиях.
Часть 2
- Как создать поставщика виртуальной инфраструктуры
- Как выбрать направление развития IT-проекта
- Что нужно знать о поставщике IaaS перед началом работы
