Компьютерные сети
VPN: виртуальные сети
Вы работаете из кофейни, а ваш ноутбук - часть корпоративной сети в Москве. Вы печатаете на офисном принтере. Вы обращаетесь к внутренним серверам по имени. WiFi кофейни не видит ничего, кроме шифрованного потока к одному IP. Это и есть VPN.
- **Remote Work:** COVID ускорил переход на VPN. Компании масштабировали VPN-инфраструктуру в 10 раз за месяцы
- **Multi-cloud:** Site-to-Site VPN соединяет AWS, Azure, GCP и on-premise. Данные текут безопасно между облаками
- **Обход ограничений:** VPN меняет точку выхода в интернет. Стриминг контента, доступного в другой стране
Предварительные знания
Что такое VPN
**VPN (Virtual Private Network)** создаёт зашифрованный туннель через публичную сеть. Внутри туннеля трафик защищён от перехвата и модификации, как если бы устройства были в одной локальной сети.
**VPN ≠ анонимность:** VPN скрывает трафик от локальной сети и ISP, но VPN-провайдер видит всё. Для анонимности нужен Tor или подобные системы.
VPN-технологии различаются по уровню OSI, на котором они работают:
Основные протоколы VPN:
Чем Layer 2 VPN отличается от Layer 3 VPN?
Site-to-Site VPN
**Site-to-Site VPN** соединяет целые сети (офисы) через интернет. Пользователи работают как обычно - VPN прозрачен для них. Туннель между маршрутизаторами/firewall.
**Всегда активен:** Site-to-Site VPN работает постоянно. Маршруты статические. Отказоустойчивость через резервные туннели.
Для Site-to-Site обычно используют IPsec (стандарт) или WireGuard (современный):
В Site-to-Site VPN, кто устанавливает туннель?
Remote Access VPN
**Remote Access VPN** соединяет отдельных пользователей с корпоративной сетью. Каждый клиент устанавливает свой туннель. Идеально для удалённой работы.
**VPN клиенты:** OpenVPN, WireGuard, Cisco AnyConnect, GlobalProtect, встроенные в ОС (IKEv2). Корпоративные часто требуют MFA и проверку устройства.
Процесс подключения Remote Access VPN:
Сотрудник подключился к VPN из кафе. Какой IP-адрес видит корпоративный сервер?
Split Tunneling и Full Tunnel
**Split Tunneling** - только корпоративный трафик идёт через VPN, остальной напрямую в интернет. **Full Tunnel** - весь трафик через VPN. Выбор влияет на безопасность и производительность.
**Inverse Split Tunnel:** Всё через VPN, КРОМЕ определённых адресов (например, видеоконференции для экономии bandwidth). Реализуется exclude-маршрутами.
Плюсы и минусы:
VPN делает меня анонимным в интернете
VPN шифрует соединение, но VPN-провайдер видит весь ваш трафик
VPN меняет точку выхода в интернет и скрывает трафик от локальной сети/ISP. Но VPN-провайдер видит: кто вы (платёж), откуда подключаетесь, куда ходите. Для анонимности нужен Tor, который маршрутизирует через множество независимых узлов. 'No-log' VPN - это доверие провайдеру, не гарантия.
Сотрудник банка работает из кафе. Какой режим VPN безопаснее?
Итоги
- **VPN** создаёт зашифрованный туннель через публичную сеть. L2 VPN передаёт фреймы, L3 - пакеты
- **Site-to-Site** соединяет целые сети через gateway-устройства. Прозрачно для пользователей, работает постоянно
- **Remote Access** подключает отдельных пользователей. Требует аутентификации, клиент получает IP из пула
- **Split Tunnel** быстрее (только корп. трафик через VPN), **Full Tunnel** безопаснее (весь трафик защищён)
Связанные темы
VPN строится на криптографии и туннелировании:
- HTTPS и TLS — VPN использует похожие криптографические примитивы для шифрования туннеля
- IPsec — Стандартный протокол для Site-to-Site VPN
Вопросы для размышления
- Почему компании не используют просто HTTPS вместо VPN для доступа к внутренним ресурсам?
- Какие риски создаёт публичный VPN-провайдер по сравнению с корпоративным VPN?
- Как VPN влияет на работу приложений, которые определяют локацию по IP?