ProCloud Yandex
01.03.2024
читать 5 минут

IPsec VPN: что это такое и как настроить

/upload/iblock/290/6brv7ny2bm2jb1z4f2nx0s75jpkbhapa/Sover_opt.jpeg
  1. Что такое IPsec VPN?
  2. Как настроить IPsec VPN-сервер
  3. Как настроить VPN-клиент IPsec
  4. Заключение

Если вам когда-либо приходилось работать удаленно, возможно, вы использовали VPN для безопасного подключения к ресурсам частной сети вашей компании. Некоторые VPN используют протокол IPsec для установления безопасных соединений. Но что такое VPN и IPsec VPN?

В бизнес-контексте VPN устанавливает защищенное соединение с защищенной сетевой средой, которое в противном случае было бы недоступно для внешнего пользователя. Все происходит через общедоступную сеть таким образом, чтобы обеспечить безопасность и конфиденциальность этих подключений.

Представьте, что вы встречаетесь с клиентом в кафе, и вам нужен доступ к конфиденциальным данным, размещенным на частных серверах вашей компании. Использование незащищенных сетей типа Wi-Fi в кофейне может подвергнуть риску вашу компанию.

VPN позволяют пользователям получать доступ к частной сети и удаленно обмениваться конфиденциальными данными без риска нанести ущерб сетевой инфраструктуре и информации.

Вот несколько причин, чтобы использовать VPN:

  • обеспечение защищенного соединения;
  • обезличивание пользователя во время работы в сети;
  • работа с ресурсами, которые заблокированы пользователям определенной страны.

Традиционная сетевая архитектура состоит из некоторой комбинации разрешенных статических IP-адресов, сопоставления подсетей для удаленных пользователей с использованием групповой политики, брандмауэра, управления маршрутами и шлюза в общедоступном интернете.

IPsec — это безопасный сетевой протокол, который использует шифрование пакетов для обеспечения их безопасной передачи между устройствами внутри сети.

Что такое IPsec VPN?

IPsec VPN — это VPN, которая использует IPsec в качестве протокола для установления безопасных соединений между устройствами. Другие протоколы, используемые VPN, включают SSL/TLS и L2TP. Давайте рассмотрим их подробнее:

  1. TLS, преемник SSL, представляет собой криптографический протокол, обеспечивающий безопасность связи в компьютерной сети. TLS хорошо известен тем, что обеспечивает безопасность HTTPS-соединений.
  2. IPsec — это безопасный сетевой протокол, используемый в VPN для аутентификации и шифрования пакетов.
  3. L2TP — это протокол туннелирования, используемый для поддержки VPN. L2TP сам по себе не обеспечивает надежную аутентификацию. IPSec часто используется для защиты пакетов L2TP. Комбинация этих двух протоколов обычно называется L2TP/IPsec.

Набор протоколов IPsec защищает данные, передаваемые через интернет или любую общедоступную сеть, с помощью шифрования между двумя конечными точками. Они часто применяются для установления взаимной аутентификации между компьютерами в начале сеанса и для согласования криптографических ключей.

VPN сервер IPsec обеспечивает несколько уровней безопасности: аутентификацию для защиты любых изменений в пакетах данных и шифрует данные в каждом пакете.

Существует два режима IPsec VPN:

  • IPsec Tunnel Mode VPN — в этом режиме шифруется весь исходящий пакет. Обычно это реализуется на защищенном шлюзе с использованием брандмауэра или порта маршрутизатора.
  • IPsec Transport Mode VPN — в этом режиме шифруются только полезные данные IP и трейлер ESP, передаваемые между двумя конечными точками. В основном это используется во время сквозной связи и не меняет IP-заголовок исходящего пакета.

Как настроить IPsec VPN-сервер

Настройка IPsec VPN относительно несложная. Рассмотрим, как быстро и автоматически настроить собственный IPsec VPN-сервер в дистрибутивах CentOS/RHEL, Ubuntu и Debian Linux.

Для начала вам понадобится выделенный сервер или виртуальный частный сервер (VPS), на котором установлена ​​одна из следующих ОС:

  • Ubuntu 20.04 (Focal) or 18.04 (Bionic);
  • Debian 11 (Bullseye), 10 (Buster) or 9 (Stretch);
  • CentOS 8 or 7;
  • Rocky Linux 8;
  • AlmaLinux OS 8;
  • Red Hat Enterprise Linux (RHEL) 8 or 7;
  • Amazon Linux 2.

Войдите в VPS через SSH, а затем запустите команды для вашего дистрибутива Linux, чтобы настроить VPN-сервер. По умолчанию скрипт сгенерирует для вас случайные учетные данные VPN (предварительный общий ключ, имя пользователя и пароль VPN) и отобразит их в конце установки.

Однако чтобы использовать свои учетные данные, вам сначала необходимо создать надежный пароль и PSK соответственно с помощью следующих команд:

> openssl rand -base64 106xWSdx0q7hrUAQ==> openssl rand -base64 16bcM90acDBKB6qdmsZM63Vg==

Результатом первой команды является пароль, а результатом второй команды — PSK.

Затем установите эти сгенерированные значения, как описано в следующей команде. Все значения должны быть заключены в одинарные кавычки, как показано.

VPN_IPSEC_PSK: 'Your IPsec pre-shared key'VPN_USER: 'Your VPN user name'VPN_PASSWORD: 'Your VPN password'

В CentOS/RHEL или Ubuntu/Debian

wget https://git.io/vpnsetup -O vpnsetup.shVPN_IPSEC_PSK='KvLjedUkNzo5gBH72SqkOA==' VPN_USER='bobalice'
VPN_PASSWORD='8DbDiPpGbcr4wQ==' sudo sh vpnsetup.sh

Вот основные пакеты, которые необходимо установить:

  • bind-utils;
  • net-tools;
  • bison;
  • flex;
  • gcc;
  • libcap-ng-devel;
  • libcurl-devel;
  • libselinux-devel;
  • nspr-devel;
  • nss-devel;
  • pam-devel xl2tpd;
  • iptables-services;
  • systemd-devel;
  • fipscheck-devel;
  • libevent-devel;
  • fail2ban.

Загрузите, скомпилируйте и установите Libreswan из исходного кода, затем включите и запустите необходимые службы. После завершения установки вы увидите отображаемые сведения о VPN в следующем формате:

Server IP: xxx.xxx.xxx.xxxIPsec PSK: VPN_IPSEC_PSKUsername : VPN_USERPassword : VPN_PASSWORD

Теперь VPN-сервер IPsec готов к использованию. Далее рассмотрим, как настроить клиент сервер IPsec VPN на компьютерах с Windows, Linux и OS X.

Как настроить VPN-клиент IPsec

Сочетание L2TP с протоколами IPsec позволит создать VPN-клиент с высоким уровнем защиты. L2TP генерирует туннель, поскольку он не поддерживает шифрование. Протокол IPsec обеспечивает шифрование, безопасность канала и целостность данных, гарантируя, что все пакеты безопасны и не скомпрометированы. Стоит рассмотреть, как происходит настройка IPsec туннеля.

Windows 11

Для настройки VPN-клиента IPsec в Windows 11 следуйте инструкции ниже. В Windows 11 IPsec VPN также поддерживается по умолчанию, и дополнительное программное обеспечение для его установки не требуется.

  1. Нажмите на значок сети в системном трее на панели задач.
  2. Выберите «Настройки сети и интернета».
  3. Прокрутите вниз до раздела «Расширенные настройки сети» и выберите «VPN».
  4. Нажмите «Добавить соединение VPN».
  5. В разделе «Поставщик VPN» выберите «Windows (встроенный)».
  6. В поле «Имя соединения» введите название вашего VPN-соединения для удобства идентификации.
  7. В поле «Имя или адрес сервера» введите IP-адрес вашего VPN-сервера.
  8. В разделе «Тип VPN» выберите «L2TP/IPsec с предварительным ключом».
  9. В поле «Предварительный ключ» введите ваш VPN IPsec PSK (предварительный ключ).
  10. В разделе «Тип входа» выберите предпочитаемый тип учетных данных (обычно это имя пользователя и пароль).
  11. Введите своё имя пользователя и пароль для VPN (если это требуется).
  12. Нажмите «Сохранить».

Теперь ваше VPN-соединение должно отображаться в списке VPN. Для подключения:

  1. Вернитесь в настройки VPN (пункты 1-3 предыдущей инструкции).
  2. Выберите своё VPN-соединение из списка и нажмите «Подключить».

Если вам необходимо настроить дополнительные параметры безопасности или другие расширенные настройки, выполните следующие шаги:

  1. В настройках VPN найдите своё соединение и нажмите на него.
  2. Выберите «Свойства».
  3. Перейдите на вкладку «Безопасность».
  4. Выберите необходимые параметры безопасности, включая типы протоколов и методы аутентификации.
  5. Подтвердите изменения, нажав «ОК».

Убедитесь, что все настройки соответствуют требованиям вашей сети или VPN-сервиса.

MacOS

IPsec VPN поддерживается в OS X по умолчанию. После настройки VPN-сервера выполните следующие действия, чтобы настроить IPsec VPN в OS X.

  1. Откройте «Системные настройки»: Найдите иконку «Системные настройки» на вашем Dock-панели или используйте Spotlight поиск, набрав «Системные настройки», и откройте его.
  2. Перейдите к «Сеть»: В Системных настройках пролистайте до раздела «Сеть» и кликните по нему.
  3. Добавьте новое VPN-соединение: Нажмите на кнопку с символом плюса (+), которая находится в нижней части списка интерфейсов слева, чтобы добавить новое соединение.
  4. Настройте тип VPN: В появившемся окне выберите «VPN» из выпадающего меню «Интерфейс». Затем, в «Тип VPN», выберите «IKEv2», который является более безопасным и современным вариантом по сравнению с «L2TP через IPSec».
  5. Конфигурация службы VPN: Введите название вашего VPN-соединения в поле «Имя службы». Это может быть любое название, которое поможет вам идентифицировать соединение.
  6. Настройки сервера и учетных данных: Введите адрес вашего VPN-сервера в поле «Адрес сервера» и имя учетной записи пользователя в поле «Удаленный ID».
  7. Аутентификация: Нажмите на «Аутентификация» и введите свой пароль VPN и, если требуется, общий секрет или сертификат для аутентификации.
  8. Дополнительные настройки: Перейдите в раздел «Дополнительно» и убедитесь, что установлен флажок «Отправлять весь трафик через VPN-соединение». Это обеспечит, что весь ваш интернет-трафик будет проходить через VPN.
  9. Настройка IPv6: На вкладке «TCP/IP» убедитесь, что в разделе «Настройка IPv6» выбрано «Локальная ссылка», если не хотите использовать IPv6 или ваш VPN не поддерживает его.
  10. Сохраните и подключитесь: Нажмите «ОК», чтобы закрыть дополнительные настройки, а затем «Применить», чтобы сохранить вашу новую VPN-конфигурацию. Выберите созданное VPN-соединение из списка и нажмите «Подключить», чтобы начать использование VPN.

Ubuntu/Linux

Для Ubuntu и других дистрибутивов Linux на базе Ubuntu версий 18.04 и новее, процесс установки и настройки VPN-клиента IPsec/L2TP остается в основном неизменным и актуален на 2024 год. Однако стоит проверить наличие обновлений для пакетов и убедиться в совместимости с вашей версией системы. Вот обновленная инструкция по настройке:

  1. Установка необходимых пакетов:
    • Откройте терминал.
    • Установите пакет network-manager-l2tp и network-manager-l2tp-gnome (для графического интерфейса) с помощью команды:

      sudo apt-get update && sudo apt-get install network-manager-l2tp network-manager-l2tp-gnome

  2. Настройка VPN-соединения:
    • Откройте «Настройки» > «Сеть» > «VPN». Нажмите кнопку «+» для добавления нового VPN-соединения.
    • В появившемся списке выберите «Layer 2 Tunneling Protocol (L2TP)».
    • Введите название вашего VPN-соединения в поле «Имя».
    • В поле «Шлюз» введите IP-адрес вашего VPN-сервера.
    • Введите имя пользователя в поле «Имя пользователя».
    • Щелкните на значок «?» в поле «Пароль» и выберите «Хранить пароль только для этого пользователя», затем введите ваш пароль.
    • Оставьте поле «Домен NT» пустым.
    • Нажмите на кнопку «Настройки IPsec…»:
      • Установите флажок «Включить IPsec для L2TP хоста».
      • Оставьте поле «Идентификатор шлюза» пустым.
      • Введите ваш Pre-shared key (PSK) для IPsec в соответствующее поле.
      • В разделе «Дополнительно», укажите алгоритмы шифрования:
        • Для «Фазы 1» используйте: aes128-sha1-modp2048.
        • Для «Фазы 2» используйте: aes128-sha1.
    • Нажмите «ОК», затем «Добавить» для сохранения настроек VPN-соединения.
    • Активируйте VPN-соединение, переключив соответствующий слайдер в положение «Вкл».

После завершения этих шагов, VPN-соединение должно быть настроено и готово к использованию. Обратите внимание, что конкретные алгоритмы шифрования и другие параметры безопасности могут отличаться в зависимости от требований вашей VPN-сети, поэтому рекомендуется консультироваться с вашим администратором сети или документацией VPN-сервиса.

Заключение

Благодаря IPsec VPN IP-пакеты защищены при прохождении к шлюзу IPsec и от него. Протоколы IPsec реализуют безопасную сеть, которая защищает данные VPN от внешних злоумышленников.



Хотите узнавать больше о технологиях и наших облачных продуктах? Подписывайтесь на нашу рассылку и следите за новостями: Телеграм и Вконтакте.



Новости
5 апреля 202405.04.2024
читать 1 минутучитать 1 мин
ProCloud CPO Диана Беда в рейтинге ИТ-лидеров от Global CIO
28 марта 202428.03.2024
читать 1 минутучитать 1 мин
Запуск новой локации: Казахстан
6 марта 202406.03.2024
читать 1 минутучитать 1 мин
ProCloud №1 в Рейтинге облачных провайдеров 2023