Что такое VPN-соединение и как им пользоваться
VPN или Virtual Private Network — это технология анонимного сетевого подключения. Она защищает приватную информацию пользователей в интернете. Если вы вошли в «паутину» через виртуальную частную сеть, никто посторонний не сможет перехватить ваш логин/пароль. Даже если вы будете использовать публичный Wi-Fi, с VPN вы сохраните анонимность.
В этой статье я подробно рассказываю, какие бывают VPN, как и для чего используются. Эта статья поможет вам выбрать подходящий способ и создать свое VPN-соединение.
Что такое VPN-соединение
VPN — технология сетевого подключения. Она позволяет организовать подсеть в уже существующем соединении. В переводе «Virtual Private Network» означает «виртуальная частная сеть». Она шифрует новое, поверхностное соединение, благодаря чему получается сохранить конфиденциальность.
Поверхностная сеть закрыта от внешнего доступа, потому вмешаться в нее не смогут. Единственное условие — наличие высокой скорости соединения.
Подключение выполняется по типу «точка» — «точка». Это туннельное соединение. Чтобы войти в «туннель» можно использовать любой персональный компьютер. Операционная система (ОС) также может быть любой. Главное, чтобы был установлен VPN-клиент. Он перебрасывает виртуальный порт TCP/IP на другую сеть.
Для чего используется
VPN используется в таких случаях:
- чтобы обеспечить работу приложения, IP из другой зоны;
- для анонимности работы в сети;
- чтобы скрыть местонахождение компьютера;
- для доступа к общей сети;
- чтобы получить высокую скорость соединения;
- чтобы избежать различных сбоев;
- чтобы создать каналы, защищенные от хакерских атак;
- для безопасных корпоративных сетей.
Если создать VPN-соединение, интернет станет открытым и безопасным. Можно не переживать, что провайдер или киберпреступник получит доступ к важной информации. VPN ее шифрует.
Классификация VPN
VPN классифицируют по нескольким параметрам:
- Уровень защиты среды. Может создаваться исключительно частная сеть, или данные будут дополнительно зашифрованы.
- Способ реализации. Интегрированный или программный вариант.
- Тип протокола. TCP/IP, IPX и AppleTalk.
- Доступность. Платно или бесплатно.
Общепринятая классификация делит VPN на два типа:
- Удаленный доступ. ПК подключается к сети.
- Site-to-site. Соединяет две разные сети.
Хотя некоторые специалисты выделяют еще третий вид — Client/Server VPN. Он используется, когда создается пара сетей. Клиенты подключаются к общему серверу, но передают информацию по своим сетям внутреннего типа.
Программы для VPN-соединения
Создать VPN-соединение могут специальные программы. Существуют платные и бесплатные версии. Обычно большей популярностью пользуются бесплатные. Но есть программы, где доступны платные тарифы:
- по времени;
- по трафику;
- по количеству доступных VPN-серверов.
Обычно, бесплатные программы — это пробные версии платных. Клиент получает возможность опробовать продукт, прежде чем купить VPN-соединение.
У каждой программы свои особенности:
Технологии реализации
Возможности
Особенности
PPTP, IPsec, L2TP, SSTP, OpenVPN
- автоматический/ручной режимы;
- шифрование на лету;
- анонимный серфинг;
- антиблокировка сайтов;
- стриминг;
- блокировка рекламы.
- используется на ОС Windows, Mac, есть расширение для браузеров. Версия для Android, iOS;
- одна подписка для разных устройств;
- более 35 стран;
- пробный период неограниченный;
- манибек 30 дней;
- высокая скорость и стабильное соединение.
L2TP, PPTP, IPsec, OpenVPN, SSTP
- настройка портов;
- анонимный torrent;
- автоматический/ручной режимы;
- анонимный серфинг;
- шифрование на лету;
- стриминг;
- обход блокировки сайтов;
- блокировка рекламы.
- функция Hide ip, скрывающая адрес пользователя;
- защита трафика разными протоколами;
- блокирует сниффинг;
- ips мониторинг;
- перехват dns запросов;
- функция Split;
- до 5 устройств на лицензию;
- доступна подписка и манибек;
– нет расширений для браузеров.
OpenVPN, PPTP, L2TP IPsec, SSTP
- torrent анонимен только частично;
- автоматический/ручной режимы;
- серфинг анонимный;
- настройка портов;
- шифрование на лету, стриминг;
- обход блокировки сайтов.
- отслеживание не проводится;
- делает wi-fi устойчивым к взлому;
- многорежимность работы;
– бесплатная версия VPN на Windows отличается ограничением доступа и необходимостью в регистрации.
Платная с частичной поддержкой русского языка
Присутствуют те же возможности, что в предыдущих программах. Кроме настройки портов и анонимного torrent.
- пять сотен VPN-серверов в 50 государствах;
- месячная плата от двух долларов;
- может работать на компьютере, смартфоне, планшете или всех устройствах одновременно (без необходимости регистрировать несколько аккаунтов);
- потоковая передача видео, обходя блокировку Hulu или Netflix US;
- уникальная разработка — MultiHop, подключающая к двум VPN-серверам одновременно.
Платная с частичной поддержкой русскоязычной версии
Есть расширения для Windows и браузеров
PPTP, IPsec, L2TP, SSTP, OpenVPN
- анонимный torrent и серфинг;
- автоматический/ручной режимы;
- шифрование на лету, стриминг;
- обход блокировки сайтов, блокирует рекламу.
- 2048 битное шифрование;
- Double VPN — двойное шифрование на разных серверах;
- защита от экстренного отключения;
- учетной записью можно одновременно пользоваться на шести устройствах.
У программ, предлагающих VPN-соединение бесплатно, более высокий рейтинг. Тестовые режимы обычно длятся от нескольких дней до месяца, но есть и неограниченные по времени бесплатные предложения. Пользоваться полностью бесплатными сервисами не рекомендуется. Они редко обеспечивают надежный уровень соединения.
Как создать VPN-соединение
Чтобы создать соединение, нужно подобрать программу. Лучший вариант из представленных в таблице — NordVPN. Его легко установить и использовать как новичкам, так и специалистам. Длительная подписка предлагается по доступной цене, а взамен открываются широкие возможности.
Для начала создайте аккаунт:
-
Выбираете тариф (наиболее выгодный — на два года):

Регистрируете аккаунт:

Указываете вариант оплаты (paypal, кредитные карты, биткоины):
Дальше требуется загрузить программу, которая обеспечивает, например, VPN-соединение windows 7. Это можно сделать в личном кабинете во вкладке «Область загрузки».

Там же можно скачать программу для мобильных устройств. Технология как создать VPN-соединение на iphone практически такая же, как и для Windows.
Когда файл загрузится, открывайте его и заполняйте форму с логином/паролем.

Переходите во вкладку «Servers», кликайте по стране, выбирайте сервер и нажимайте клавишу «Connect now».

После этого VPN будет работать.
Подключение через браузер
Это более быстрый путь. Особенно актуален для частных пользователей сети.
У каждого браузера есть свои особенности:
Opera. Со встроенной бесплатной и безлимитной версией VPN. Для включения нужно пройти такой путь: «Меню» — «Настройки» — «Безопасность» — «Включить VPN».
Chrome. Подключение возможно благодаря расширениям. Чтобы их получить, нужно открыть: «Меню» — «Дополнительные инструменты» — «Расширения» — «Еще расширения». Дальше в поисковую строку нужно ввести «VPN». Из полученных результатов, выбрать один, и нажать «Установить». Если расширение установилось, его значок появится на панели «Меню». Большинство расширений бесплатные.
Mozilla. Схема такая же, как и в предыдущих случаях. Лучшими дополнениями считаются Zenmate Security и Hoxx VPN Proxy.
Настройка VPN-соединения на компьютере
После запуска важно разобраться, как настроить VPN-соединение. Самый распространенный способ настройки на ОС Windows:
- «Пуск» — «Панель управления» — «Центр управления сетями и общим доступом»:

- Выбрать «Настройку нового подключения или сети»:

- Выбрать «Подключение к рабочему месту»:

- Нажать «Использовать мое подключение к интернету (VPN)»:

- Появится поле «Интернет адрес», куда нужно внести свой VPN-сервер. Если адрес неизвестный, его можно разузнать, нажав «Win + R», вписав «cmd»:

- Ввести команду «ipconfig» и запустить ее. В строке «Основной шлюз» будет нужный адрес:

- Указать адрес, отметив «Не подключаться» и перейти «Далее»:

- Вписать пароль и логин, нажав «Создать»:

- Снова перейти в «Центр управления сетями», выбрав «Изменение параметров адаптера»:

- Будет создан значок VPN-подключения. Для подключения нужно нажать на иконку правой кнопкой мыши, выбрав, «Подключить», а для отключения нажать «Отключить»:

Для соединения нужно будет ввести логин и пароль.
Маршрутизация VPN-соединений
Настраивается маршрутизация VPN-соединений следующим образом:

-
Перейти в «Центр управления сетями», «Изменение параметров адаптера», нажав на правую кнопку мыши выбрать пункт «Свойства»:

Открыть «Сеть» и также выбрать «Свойства»:

Нажать «Дополнительно»:

В «Параметры IP» убрать отметку на пункте «Использовать основной шлюз…», нажать «Ок»:

Нужно учесть, что:
- 192.168.0.0 — адрес рабочей сети;
- MASK 255.255.255.0 – маска подсети;
- 172.239.0.1 — шлюз.
Каждый параметр индивидуален. Чтобы все заработало, нужно нажать «Enter».
Тестирование скорости VPN-соединения
Тест скорости VPN-соединения нужен, чтобы оценить, насколько снизится пропускная способность сети. Также он позволяет оценить качество соединения. Провести проверку можно следующим образом:
- Узнать скорость интернет-соединения без VPN. Проще всего выяснить это значение с помощью FCC testing. В нем три составляющие: задержка, скорость загрузки и выгрузки.
- Подключиться к VPN-серверу.
- Повторно пройти тест, получив новые значения уже с учетом VPN-соединения.
- Сравнить показатели и узнать разницу.
Финальные цифры продемонстрируют, какая часть скорости теряется. Зная это значение, можно попытаться увеличить скорость VPN-соединения, подобрав другую программу.
Ошибки VPN-соединения
Часто при соединении с VPN возникают ошибки. Наиболее распространенные перечислены в таблице.
400 Bad Request
- Проблемы с брандмауэром.
- Браузер не поддерживает соединение.
- Отключить брандмауэр.
- Обновить браузер или использовать другой.
ОС запретила шифрование.
Перепроверить в реестре «HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesRasMan Parameters» правильность параметра «ProhibitIpSec». Его значение должно быть нулевым.
- Отсутствие денег на балансе.
- Неправильно введены логин/пароль.
- Провести проверку баланса, и если денег действительно нет, пополнить его.
- Проверить правильность указанного в настройках адреса VPN-сервера. При необходимости пересоздать VPN-подключение.
Произошел аппаратный сбой порта.
Перезагрузить компьютер и заново создать подключение.
Подключение уже выполнено.
Ошибка 720 обычно появляется на ОС Windows7. Другие ОС отражают код 738. Решается созданием разных имен пользователя.
Неправильные настройки безопасности.
Убедиться в правильности настроек VPN-подключения. Если ничего не найдено, пересоздать VPN-соединение.
Зайти в свойства подключения, где «Автоматический» изменить на «L2TP IPSec VPN».
ОС не поддерживает l2tp. Часто возникает на Windows WP.
Применить автоматическую настройку VPN: «Настройки VPN-подключения» — «Сеть» — «Автоматически»/«Туннельный протокол точка-точка (PPTP)». Подключится заново.
Если антивирусная программа или брандмауэр блокируют соединение, с помощью номера ошибки можно быстро найти решение проблемы. Даже если выполняется VPN-соединение через прокси сервер.
Запомнить
- VPN — технология анонимного сетевого подключения. Она позволяет организовать подсеть в уже существующем соединении.
- Применяется для защиты информации и достижения анонимности в сети.
- Подключиться к VPN можно благодаря настройкам ОС и специальным программам.
- При подключении могут возникнуть ошибки, которые мешают подключиться к сети. Решить их можно с помощью создания нового подключения, поиска ошибок в настройках или отключением антивируса.
Netpeak запустил услугу «ASO с оплатой за результат» — заказывайте по ссылке.
Редактор, журналист, маркетолог
В личном архиве с 2004 года — публикации в газетах и журналах, вычитка книг, несколько сборников, копирайтерские галеры новостных сайтов, должности редактора ленты и администратора форума, букет спецпроектов.
Узнайте больше
![]()
42
Что такое маска подсети
Рассказываем, что такое маска подсети, как ее узнать и использовать. А также показываем, как она связана с основным шлюзом и IP-адресами.

В статье рассказываем, что такое маска подсети, как ее узнать, где использовать и как она связана с основным шлюзом и IP-адресами.
Что такое подсеть
В одном из значений сеть — это группа устройств под одним управлением, способных коммуницировать между собой. Также сеть означает диапазон IP-адресов — выделенный или полученный от регистратора — для конкретной физической сети. Например, выбранный приватный диапазон 10.0.0.0/8 или полученный от регистратора диапазон внешних адресов 192.0.2.0/24.
Чтобы сети между собой не пересекались, для удобства и разделения доступа, сеть делится на сегменты.
Подсеть, помимо меньшего физического сегмента большой сети, также означает диапазон адресов меньшего размера, созданный путем деления более крупной сети на равные непересекающиеся части. Размер подсети определяется маской подсети.
Что такое IP-адрес
IP — Internet Protocol, межсетевой протокол — на модели OSI это протокол третьего сетевого уровня. Его главная задача — адресация узлов сети и маршрутизация пакетов до них. Ключевые сущности для межсетевого протокола: IP-адрес, маска подсети и маршрут.
Теперь к понятию IP-адреса. Это уникальный идентификатор устройства (ПК, мобильного телефона, принтера и т.д.) в компьютерной сети, содержащий данные о нем.
Из чего состоит IP-адрес: IPv4 в двоичной системе и IPv6
IPv4
В версии протокола IPv4 адрес представляет собой 4-байтовое или 32-битное число. Для удобства можно реализовать перевод IP-адреса в двоичную систему. В таком случае он записывается с разбивкой по октетам в двоично-десятичном представлении — каждое число от 0 до 255 соответствует одному байту в адресе. Самый популярный пример — адрес многих роутеров 192.168.0.1.
IPv6
В версии IPv6 длина адреса составляет 128 бит, что расширяет возможности адресации. Обычно адрес принимает вид 8 четырехзначных шестнадцатеричных чисел, для упрощения адрес записывают с пропуском начальных нулей. IP-адрес 1050:0000:0000:0000:0005:0600:300c:326b можно записать как 1050:0:0:0:5:600:300c:326b.
Утверждается, что протокол IPv6 может обеспечить до 5·1028 адресов на каждого жителя Земли. Новая версия протокола была введена из-за недостатка адресов IPv4 и для иерархичности адресов, что упрощает маршрутизацию.
Создайте свой сервер
Просто подберите нужную конфигурацию. А мы предоставим ресурсы и публичный IP-адрес.
Стек протоколов и сетевая модель TCP/IP
TCP — Transmission Control Protocol, протокол контроля передачи — протокол 4 транспортного уровня модели OSI. Его ключевые функции — мониторинг передачи данных, сегментация данных при отправке и сборке пакетов в правильном порядке при получении.
TCP обеспечивает надежную доставку пакетов за счет установления предварительного логического соединения методом «трех рукопожатий», или 3-way handshake, — периодического подтверждения доставки пакетов и переотправки потерянных.
Ключевой сущностью для протокола TCP является порт — 16-битное целое число от 1 до 65535. Данное число позволяет идентифицировать конкретное приложение на узле, отправляющее трафик (порт отправителя) либо принимающее на удаленном узле (порт получателя).
Стек протоколов и сетевая модель TCP/IP имеет более упрощенное разделение по уровням, чем сетевая модель OSI, но покрывает все предоставляемые ею функции. Вместо семи уровней OSI стек TCP/IP состоит из четырех:
- уровень приложений — сетевой протокол верхнего уровня, использует HTTP, RTSP, SMTP,
- транспортный уровень — TCP, UDP,
- сетевой уровень — IP,
- канальный уровень — DHCP, ARP.
Для работы с маской подсети стоит отдельно упомянуть прикладной протокол DHCP — Dynamic Host Configuration Protocol, протокол динамической конфигурации хоста. Это широковещательный протокол, позволяющий хосту получить настройки IP в автоматическом режиме без необходимости ручной настройки. В настройки входит IP-адрес, маска подсети, основной шлюз, DNS-серверы.
Что такое маска подсети
Маска подсети — 32-битное число, служащее битовой маской для разделения сетевой части (адреса подсети) и части хоста IP-адреса. Состоит из последовательности от 0 до 32 двоичных единиц, после которых остаток разрядов представляют двоичные нули. Их смешение недопустимо. Устройства в одной подсети имеют одинаковый адрес подсети и передают данные на канальном уровне.
Устройства в разных подсетях коммуницируют через маршрутизацию. Как и IP-адрес, маска может быть записана в двоично-десятичной форме (например, 255.255.0.0) или в виде префикса в CIDR-нотации — числом от 0 до 32, обозначающего длину маски в битах. Например, в подсети 192.0.2.0/24 значение /24 — это маска, равная 255.255.255.0.
Маршрутизатор и основной шлюз подсети
Пересылку пакетов данных между разными IP-сетями осуществляет маршрутизатор, или роутер, — устройство, представляющее собой компьютер с несколькими сетевыми интерфейсами, на котором установлено специальное ПО для маршрутизации.
Маршрут — запись в таблице маршрутизации о следующем устройстве в сети (адрес машины или сетевой интерфейс), которому следует направить пакеты для пересылки в конечную сеть.
Таблица маршрутизации хранится в памяти роутера, ее главная функция — описание соответствия между адресами назначения и интерфейсами, через которые необходимо отправить данные до следующего маршрутизатора.
Основной шлюз — устройство или специальная ОС, которые обеспечивают коммуникацию сетей. Сейчас TCP/IP — самый популярный стек, и шлюз фактически стал синонимом маршрутизатора. Шлюз по умолчанию — маршрут до подсетей, не имеющих в таблице маршрутизации специфического маршрута.
При наличии двух маршрутов с разной маской для одного IP-адреса выбирается более специфический маршрут — с самой длинной маской, то есть в самую меньшую подсеть из доступных.
Адресный план
Составление адресного плана — это разбиение IP-пространства на подсети одинакового размера. Процесс необходим для повышения безопасности и производительности. Например, предприятию необходимо разграничить работу отделов: в каждой подсети будут определенные устройства — HR-отдел не получит доступ к подсети финансистов, но у всех будет разрешение на доступ к серверам.м
Маска подсети позволяет вычислить, кто находится в одной подсети. Компьютеры подсети обмениваются данными напрямую, а запрос на выход в интернет идет через шлюз по умолчанию.
Агрегация
Агрегация — процесс объединения мелких префиксов с длинной маской и малым количеством хостов в крупные — с короткой маской и множеством хостов. С помощью агрегации минимизируется необходимая информация для маршрутизатора, которую он использует для поиска пути передачи в сети.
Классовая адресация
Классовая адресация — архитектура сетевой адресации, которая делит адресное пространство протокола IPv4 на пять классов адресов: A для больших сетей, B для средних, C для небольших, D и E — служебные сети.
Принадлежность к одному из классов задается первыми битами адреса. Класс определяет количество возможных адресов хостов внутри сети. Модель классовой адресации использовали до появления CIDR.
Бесклассовая адресация
CIDR — Classless InterDomain Routing, бесклассовая междоменная маршрутизация. Это метод адресации, который позволяет гибко управлять пространством IP-адресов за счет отсутствия жестких рамок предыдущей модели.
VLSM — Variable Length Subnet Mask, переменная длина маски подсети — ключевая сущность бесклассовой адресации. При CIDR маска может быть любой длины от 0 до 32 бит, тогда как в случае классовой адресации маске подсети давалось фиксированное значение в зависимости от класса: 8, 16 или 24 бит.
VLSM повышает удобство использования подсетей, поскольку они могут быть разного размера. Допустим, администратору нужно управлять четырьмя отделами с определенным количеством компьютеров: продажи и закупки (120 компьютеров), разработка (50), аккаунты (26) и отдел управления (5).
IP администратора 192.168.1.0/24. Для каждого сегмента производится расчет размера блока, который больше или равен фактической потребности, представляющей собой сумму адресов хостов, широковещательных адресов и сетевых адресов. Список возможных подсетей:
| Обозначение | Хосты/подсети |
| /24 | 254 |
| /25 | 126 |
| /26 | 62 |
| /27 | 30 |
| /28 | 14 |
| /29 | 6 |
| /30 | 2 |
Все сегменты располагаются в порядке убывания на основе размера блока от наибольшего до наименьшего требования.
Наибольший доступный IP должен быть выделен для самых больших потребностей, то есть для самого большого количества ПК. У отдела продаж и закупок — 120 ПК. Он получает 192.168.1.0/25, который имеет 126 действительных адресов, легко доступные для 120 хостов. Используемая маска подсети 255.255.255.128.
Следующий сегмент — отдел разработки — требует IP для обслуживания 50 хостов. IP-подсеть с сетевым номером 192.168.1.128/26 является следующей по величине, которая может быть назначена для 62 хостов, таким образом выполняя требование отдела. Маска будет иметь значение 255.255.255.192.
Аналогично следующая IP подсеть 192.168.1.192/27 может удовлетворить требования аккаунт-отдела, так как она имеет 30 действительных IP-хостов, которые могут быть назначены 26 компьютерам. Используемая маска подсети 255.255.255.224.
Последний сегмент требует 5 действительных хостов IP, которые могут быть выполнены подсетью 192.168.1.224/29 с маской 255.255.255.248. Можно было бы выбрать IP с маской 255.255.255.240, но он имеет 14 действительных хостов IP. Поскольку требования меньше — выбирается наиболее сопоставимый вариант.
Будущее IP-адресов — архитектура RINA
Если вы решите использовать подсети, маски будут необходимы для обеспечения того, чтобы входящий трафик направлялся к нужным хост-устройствам и от них. Даже если у вас относительно небольшая система, маски подсети могут сыграть важную роль в ее надежной и бесперебойной работе.
Возможная технология будущего для IP-адресов — Recursive InterNetwork Architecture. RINA — новая сетевая архитектура, основанная на фундаментальном принципе, что сетевое взаимодействие — это межпроцессное взаимодействие (IPC). Она рекурсирует службу IPC в различных диапазонах.
Архитектура RINA обладает свойствами, которые по своей сути решают давние проблемы сетевого взаимодействия. Прежде всего, повторяющаяся структура ее модели распределенного IPC позволяет ей неограниченно масштабироваться, что позволяет избежать текущих проблем с растущими таблицами маршрутизации. Кроме того, RINA рассматривает каждый DIF как частную сеть, что обеспечивает внутреннюю безопасность.
Что такое маска сети (Netmask)
Маска сети — это 32-разрядная «маска», используемая для разделения IP-адреса на подсети и указания доступных сетевых узлов. В сетевой маске два бита всегда присваиваются автоматически. Например, в 255.255.225.0 «0» — это назначенный сетевой адрес. В 255.255.255.255 «255» является назначенным широковещательным адресом. 0 и 255 всегда назначаются и не могут быть использованы.
Маска сети определяет, насколько «велика» сеть, или если вы настраиваете правило, для которого требуется IP-адрес и маска сети, маска подсети будет указывать, к какой части или диапазону сети будет применяться правило:
| IP | Маска сети | Описание |
|---|---|---|
| 192.168.55.161 | 255.255.255.255 | Только адрес 192.168.55.161 |
| 192.168.55.0 | 255.255.255.0 | Применимо к IP 192.168.55.0 — 192.168.55.255 |
| 192.168.55.240 | 255.255.255.240 | 192.168.55.240 — 192.168.55.255 |
| 192.168.55.161 | 255.255.255.0 | 192.168.55.0 — 192.168.55.255 |
| 192.168.0.0 | 255.255.0.0 | 192.168.0.0 — 192.168.255.255 |
Иногда вы увидите, что маска сети определяется одним числом, например, 24. Это число — длина маски сети в битах:
| Маска сети | 255. | 255. | 255. | 255 |
|---|---|---|---|---|
| Длина маски | 8 | 16 | 24 | 32 |
Так, например, маска сети длиной 24 бита имеет длину 255.255.255.0:
| Маска сети | 255. | 255. | 255. | 0 |
|---|---|---|---|---|
| Длина маски | 8 | 16 | 24 | — |
Сетевая маска длиной 16 бит имеет длину 255.255.0.0:
| Маска сети | 255. | 255. | 0. | 0 |
|---|---|---|---|---|
| Длина маски | 8 | 16 | — | — |
И так далее по аналогии.
Настройка vpn
VPN(Virtual Private Network – Виртуальная Приватная Сеть) это отдельное логическое соединение в общей сети. Для этого используется виртуальный туннель для шифрования данных、верификации и аутентификации пользователей, что гарантирует, что данные не будут искажены или перехвачены. Существует аренда VPN, что позволяет использовать надежность технологии при безопасной передачи данных без существенных затрат для компании. Технология VPN подразумевает наличие VPN сервера, VPN клиента и виртуального туннеля.
![]()
VPN это эквивалент моста между интернетом и интерсетью. В IP телефонии VPN позволяет IP телефону из общей сети получить защищенный удаленный доступ к частной сети. Например, частная сеть компании недоступна из интернета. Следующая схема показывает пример соединения для IP телефона с публичным адресом к частной сети АТС компании через VPN сервер
![]()
- 1 OpenVPN
- 2 Первичная настройка
- 3 Создание Root CA
- 4 Создание файла dh1024.pem
- 5 Создание сертификата сервера
- 6 Создание сертификата клиента
- 7 Файл конфигурации
- 8 Подключение к серверу OpenVPN
- 9 Настройка клиента
- 10 Создание файла client.tar
OpenVPN
OpenVPN это сторонний инструмент с открытым исходным кодом для настройки VPN соединения . Он подходит для построения VPN соединения для телефонов Akuvox на любых операционных системах
1. Установка OpenVPN(Windows) Скачайте и установите Open VPN(например: openvpn-2.1.4-install.exe).
![]()
2. Создание сертификата
Первичная настройка
1.Измените следующие параметры (как показано ниже) для файла vars.bat.sample в папке easy-rsa, затем переименуйте в vars.bat.
set KEY_COUNTRY=CN set KEY_PROVINCE=FJ set KEY_CITY=XM set KEY_ORG=Akuvox set KEY_EMAIL=support@akuvox.com
2.Переименуйте файл openssl.cnf.sample в openssl.cnf .Затем откройте CMD и введите следующие команды (как показано ниже).
C:\Documents and Settings\ThinkPad>cd "\Program Files\OpenVPN\easy-rsa" C:\Program Files\OpenVPN\easy-rsa>vars C:\Program Files\OpenVPN\easy-rsa>clean-all

Создание Root CA
Введите следующие команды (как показано ниже) в CMD:
C:\Program Files\OpenVPN\easy-rsa>vars C:\Program Files\OpenVPN\easy-rsa>build-ca
![]()
Создание файла dh1024.pem
Введите следующие команды (как показано ниже) в CMD:
C:\Program Files\OpenVPN\easy-rsa>build-dh
![]()
Создание сертификата сервера
Введите следующие команды (как показано ниже) в CMD:
C:\Program Files\OpenVPN\easy-rsa>build-key-server CdtsmServer
Создание сертификата сервера
Создание сертификата сервера завершено
Создание сертификата клиента
Введите следующие команды (как показано ниже) в CMD:
C:\Program Files\OpenVPN\easy-rsa>build-key Client
Создание сертификата сервера
Создание сертификата клиента завершено.
Файл конфигурации
Конфигурирование сервера Откройте путь: C:\Program Files\OpenVPN\sample-config . Откройте файл server.ovpn и измените строки, отмеченные синим, как показано ниже.
Комментарии начинаются с символа ‘#’ или ‘;’ . Такой конфиг сможет работать на Windows или Linux/BSD systems. Обратите внимание, что для Windows пути нужно выделять кавычками и разделять директории двойным слэшэм.( e.g.:“C:\\Program Files\\OpenVPN\\config\\foo.key” )
# Which local IP address should OpenVPN # listen on? (optional) ;local a.b.c.d # Which TCP/UDP port should OpenVPN listen on? # If you want to run multiple OpenVPN instances # on the same machine, use a different port # number for each one. You will need to # open up this port on your firewall. # the default port 1194 port 1194 # TCP or UDP server? # Uncomment the line to enable TCP or UDP ;proto tcp proto udp # “dev tun” will create a routed IP tunnel, # “dev tap” will create an ethernet tunnel. # Use “dev tap0” if you are ethernet bridging # and have precreated a tap0 virtual interface # and bridged it with your ethernet interface. # If you want to control access policies # over the VPN, you must create firewall # rules for the the TUN/TAP interface. # On non-Windows systems, you can give # an explicit unit number, such as tun0. # On Windows, use “dev-node” for this. # On most systems, the VPN will not function # unless you partially or fully disable # the firewall for the TUN/TAP interface. # Typically, dev tap is used if VPN server is # running on windows # tap is for Windows and tun is for Linux dev tap ;dev tun # Windows needs the TAP-Win32 adapter name # from the Network Connections panel if you # have more than one. On XP SP2 or higher, # you may need to selectively disable the # Windows firewall for the TAP adapter. # Non-Windows systems usually don't need this. ;dev-node MyTap # SSL/TLS root certificate (ca), certificate # (cert), and private key (key). Each client # and the server must have their own cert and # key file. The server and all clients will # use the same ca file. # # See the “easy-rsa” directory for a series # of scripts for generating RSA certificates # and private keys. Remember to use # a unique Common Name for the server # and each of the client certificates. # # Any X509 key management system can be used. # OpenVPN can also use a PKCS #12 formatted key file # (see “pkcs12” directive in main page). # Please be sure the filename # ROOT CA is generated by build-ca, and it is used to verify the legality of customer certification. ca “C:\\Program Files\\OpenVPN\\config\\ca.crt” # The certificate file of server cert “C:\\Program Files\\OpenVPN\\config\\Cdtsmserver.crt” # The key of certificate file. key “C:\\Program Files\\OpenVPN\\config\\Cdtsmserver.key” # This file should be kept secret # Diffie hellman parameters. # Generate your own with: # openssl dhparam -out dh1024.pem 1024 # Substitute 2048 for 1024 if you are using # 2048 bit keys. dh dh1024.pem # Configure server mode and supply a VPN subnet # for OpenVPN to draw client addresses from. # The server will take 10.8.0.1 for itself, # the rest will be made available to clients. # Each client will be able to reach the server # on 10.8.0.1. Comment this line out if you are # ethernet bridging. See the man page for more info. # Launch VPN server on TAP/TUN interface with Specific IP address and net mask ;server 192.168.0.0 255.255.255.0 # Maintain a record of client ↔ virtual IP address # associations in this file. If OpenVPN goes down or # is restarted, reconnecting clients can be assigned # the same virtual IP address from the pool that was # previously assigned. ifconfig-pool-persist ipp.txt # Configure server mode for ethernet bridging. # You must first use your OS's bridging capability # to bridge the TAP interface with the ethernet # NIC interface. Then you must manually set the # IP/netmask on the bridge interface, here we # assume 10.8.0.4/255.255.255.0. Finally we # must set aside an IP range in this subnet # (start=10.8.0.50 end=10.8.0.100) to allocate # to connecting clients. Leave this line commented # out unless you are ethernet bridging. #If users want to launch the VPN server on bridge server-bridge 10.8.0.2 255.255.255.0 10.8.0.50 10.8.0.100 # Configure server mode for ethernet bridging # using a DHCP-proxy, where clients talk # to the OpenVPN server-side DHCP server # to receive their IP address allocation # and DNS server addresses. You must first use # your OS's bridging capability to bridge the TAP # interface with the ethernet NIC interface. # Note: this mode only works on clients (such as # Windows), where the client-side TAP adapter is # bound to a DHCP client. ;server-bridge # Push routes to the client to allow it # to reach other private subnets behind # the server. Remember that these # private subnets will also need # to know to route the OpenVPN client # address pool (10.8.0.0/255.255.255.0) # back to the OpenVPN server. ;push “route 192.168.35.0 255.255.255.0” ;push “route 192.168.20.0 255.255.255.0” # To assign specific IP addresses to specific # clients or if a connecting client has a private # subnet behind it that should also have VPN access, # use the subdirectory “ccd” for client-specific # configuration files (see man page for more info). # EXAMPLE: Suppose the client # having the certificate common name “Thelonious” # also has a small subnet behind his connecting # machine, such as 192.168.40.128/255.255.255.248. # First, uncomment out these lines: client-config-dir ccd ;route 192.168.40.128 255.255.255.248 # Then create a file ccd/Thelonious with this line: # iroute 192.168.40.128 255.255.255.248 # This will allow Thelonious' private subnet to # access the VPN. This example will only work # if you are routing, not bridging, i.e. you are # using “dev tun” and “server” directives. # EXAMPLE: Suppose you want to give # Thelonious a fixed VPN IP address of 10.9.0.1. # First uncomment out these lines: ;client-config-dir ccd ;route 10.9.0.0 255.255.255.252 # Then add this line to ccd/Thelonious: # ifconfig-push 10.9.0.1 10.9.0.2 # Suppose that you want to enable different # firewall access policies for different groups # of clients. There are two methods: # (1) Run multiple OpenVPN daemons, one for each # group, and firewall the TUN/TAP interface # for each group/daemon appropriately. # (2) (Advanced) Create a script to dynamically # modify the firewall in response to access # from different clients. See man # page for more info on learn-address script. ;learn-address ./script # If enabled, this directive will configure # all clients to redirect their default # network gateway through the VPN, causing # all IP traffic such as web browsing and # and DNS lookups to go through the VPN # (The OpenVPN server machine may need to NAT # or bridge the TUN/TAP interface to the internet # in order for this to work properly). ;push “redirect-gateway def1 bypass-dhcp” # Certain Windows-specific network settings # can be pushed to clients, such as DNS # or WINS server addresses. CAVEAT: # http://openvpn.net/faq.html#dhcpcaveats # The addresses below refer to the public # DNS servers provided by opendns.com. ;push “dhcp-option DNS 10.10.22.243” ;push “dhcp-option WINS 202.106.0.20” # Uncomment this directive to allow different # clients to be able to “see” each other. # By default, clients will only see the server. # To force clients to only see the server, you # will also need to appropriately firewall the # server's TUN/TAP interface. client-to-client # Uncomment this directive if multiple clients # might connect with the same certificate/key # files or common names. This is recommended # only for testing purposes. For production use, # each client should have its own certificate/key # pair. # # IF YOU HAVE NOT GENERATED INDIVIDUAL # CERTIFICATE/KEY PAIRS FOR EACH CLIENT, # EACH HAVING ITS OWN UNIQUE “COMMON NAME”, # UNCOMMENT THIS LINE OUT. duplicate-cn # The keepalive directive causes ping-like # messages to be sent back and forth over # the link so that each side knows when # the other side has gone down. # Ping every 10 seconds, assume that remote # peer is down if no ping received during # a 120 second time period. #( Openvpn can not connect again in mode server ) # The value can be modified by users. keepalive 10 120 # For extra security beyond that provided # by SSL/TLS, create an “HMAC firewall” # to help block DoS attacks and UDP port flooding. # # Generate with: # openvpn –genkey –secret ta.key # The server and each client must have # a copy of this key. # The second parameter should be '0' # on the server and '1' on the clients. ;tls-auth ta.key 0 # This file is secret # Select a cryptographic cipher. # This config item must be copied to # the client config file as well. # We use DES-CBC as an example. ;cipher BF-CBC ;cipher AES-128-CBC ;cipher DES-EDE3-CBC cipher DES-CBC # Enable compression on the VPN link. # If you enable it here, you must also # enable it in the client config file. ;comp-lzo no # The maximum number of concurrently connected # clients we want to allow. # The value can be modified by users. max-clients 20 # It's a good idea to reduce the OpenVPN # daemon's privileges after initialization. # # You can uncomment this out on # non-Windows systems. ;user nobody ;group nobody # The persist options will try to avoid # accessing certain resources on restart # that may no longer be accessible because # of the privilege downgrade. persist-key persist-tun # Output a short status file showing # current connections, truncated # and rewritten every minute. status openvpn-status.log # By default, log messages will go to the syslog (or # on Windows, if running as a service, they will go to # the “\Program Files\OpenVPN\log” directory). # Use log or log-append to override this default. # “log” will truncate the log file on OpenVPN startup, # while “log-append” will append to it. Use one # or the other (but not both). ;log openvpn.log ;log-append openvpn.log # Set the appropriate level of log # file verbosity. # # 0 is silent, except for fatal errors # 4 is reasonable for general usage # 5 and 6 can help to debug connection problems # 9 is extremely verbose #The value can be modified by users verb 4 # Silence repeating messages. At most 20 # sequential messages of the same message # category will be output to the log. ;mute 20
Подключение к серверу OpenVPN
Установите мост между локальной зоной и внешним адаптером сети. Затем установите IP адрес для интерфейса Bridge.(совпадает с IP в файле server.ovpn) Скопируйте файл server.ovpn из C:\Program Files\OpenVPN\sample-config и ca.crt、ca.key、CdtsmServer.crt、CdtsmServer.csr、CdtsmServer.key、dh1024.pem из C:\Program Files\OpenVPN\easy-rsa\key в C:\Program Files\OpenVPN\config.Настройка сервера завершена. Дважды кликните по чтобы включить сервер. Нажмите в таскбаре для подключения. Как на картинке ниже.
![]()
Иконка станет зеленой после успешной попытки подключиться к серверу, как показано на картинке.
![]()
Настройка клиента
Откройте: C:\Program Files\OpenVPN\sample-config. Откройте файл client.ovpn и измените строки, которые выделены синим, как показано ниже.
# Sample client-side OpenVPN 2.0 config file # for connecting to multi-client server. # # This configuration can be used by multiple # clients, however each client should have # its own cert and key files. # # On Windows, you might want to rename this # file so it has a .ovpn extension
# Specify that we are a client and that we # will be pulling certain config file directives # from the server. client # Use the same setting as you are using on # the server. # On most systems, the VPN will not function # unless you partially or fully disable # the firewall for the TUN/TAP interface. # we use Tap as an example dev tap ;dev tun # Windows needs the TAP-Win32 adapter name # from the Network Connections panel # if you have more than one. On XP SP2, # you may need to disable the firewall # for the TAP adapter. ;dev-node MyTap # Are we connecting to a TCP or # UDP server? Use the same setting as # on the server. #Please be same as the server‘s protocol. ;proto tcp proto udp # The hostname/IP and port of the server. # You can have multiple remote entries # to load balance between the servers. # Outer network ip of OpenVPN remote 192.168.35.91 1194 ;remote my-server-2 1194 # Choose a random host from the remote # list for load-balancing. Otherwise # try hosts in the order specified. ;remote-random
# Keep trying indefinitely to resolve the # host name of the OpenVPN server. Very useful # on machines which are not permanently connected # to the internet such as laptops. resolv-retry infinite # Most clients don't need to bind to # a specific local port number. nobind
# Downgrade privileges after initialization (non-Windows only) ;user nobody ;group nobody
# Try to preserve some state across restarts. persist-key persist-tun
# If you are connecting through an # HTTP proxy to reach the actual OpenVPN # server, put the proxy server/IP and # port number here. See the man page # if your proxy server requires # authentication. ;http-proxy-retry # retry on connection failures ;http-proxy [proxy server] [proxy port #] # Wireless networks often produce a lot # of duplicate packets. Set this flag # to silence duplicate packet warnings. ;mute-replay-warnings # SSL/TLS parms. # See the server config file for more # description. It's best to use # a separate .crt/.key file pair # for each client. A single ca # file can be used for all clients. #Please be sure the file name ca /config/openvpn/ca.crt cert /config/openvpn/Client.crt key /config/openvpn/Client.key # Verify server certificate by checking # that the certicate has the nsCertType # field set to “server”. This is an # important precaution to protect against # a potential attack discussed here: # http://openvpn.net/howto.html#mitm # # To use this feature, you will need to generate # your server certificates with the nsCertType # field set to “server”. The build-key-server # script in the easy-rsa folder will do this. ns-cert-type server # If a tls-auth key is used on the server # then every client must also have the key. ;tls-auth ta.key 1 # Select a cryptographic cipher. # If the cipher option is used on the server # then you must also specify it here. ;cipher x # we use DES-CBC as an example cipher DES-CBC # Enable compression on the VPN link. # Don't enable this unless it is also # enabled in the server config file. ;comp-lzo no # Set log file verbosity. verb 3 # Silence repeating messages ;mute 20
Создание файла client.tar
Пожалуйста, выполните следующие пункты: 1.Скопируйте файл client.ovpn из C:\Program Files\OpenVPN\sample-config и Client.crt、 Client.key、ca.crt из C:\Program Files\OpenVPN\easy-rsa\keys to client.
2.Переименуйте client.ovpn в vpn.conf.
3.Затем выделите одновременно файлы vpn.conf、Client.crt、Client.key、ca.crt.
4.Используя архиватор (например:7-Zip), создайте архив client.tar и поместите файлы в него.
Не переименовывайте, меняя расширение в zip или rar .
