ProCloud Yandex
01.03.2024
читать 5 минут

IPsec VPN: что это такое и как настроить

/upload/iblock/290/6brv7ny2bm2jb1z4f2nx0s75jpkbhapa/Sover_opt.jpeg
  1. Что такое IPsec VPN?
  2. Как настроить IPsec VPN-сервер
  3. Как настроить VPN-клиент IPsec
  4. Заключение

Если вам когда-либо приходилось работать удаленно, возможно, вы использовали VPN для безопасного подключения к ресурсам частной сети вашей компании. Некоторые VPN используют протокол IPsec для установления безопасных соединений. Но что такое VPN и IPsec VPN?

В бизнес-контексте VPN устанавливает защищенное соединение с защищенной сетевой средой, которое в противном случае было бы недоступно для внешнего пользователя. Все происходит через общедоступную сеть таким образом, чтобы обеспечить безопасность и конфиденциальность этих подключений.

Представьте, что вы встречаетесь с клиентом в кафе, и вам нужен доступ к конфиденциальным данным, размещенным на частных серверах вашей компании. Использование незащищенных сетей типа Wi-Fi в кофейне может подвергнуть риску вашу компанию.

VPN позволяют пользователям получать доступ к частной сети и удаленно обмениваться конфиденциальными данными без риска нанести ущерб сетевой инфраструктуре и информации.

Вот несколько причин, чтобы использовать VPN:

  • обеспечение защищенного соединения;
  • обезличивание пользователя во время работы в сети;
  • работа с ресурсами, которые заблокированы пользователям определенной страны.

Традиционная сетевая архитектура состоит из некоторой комбинации разрешенных статических IP-адресов, сопоставления подсетей для удаленных пользователей с использованием групповой политики, брандмауэра, управления маршрутами и шлюза в общедоступном интернете.

IPsec — это безопасный сетевой протокол, который использует шифрование пакетов для обеспечения их безопасной передачи между устройствами внутри сети.

Что такое IPsec VPN?

IPsec VPN — это VPN, которая использует IPsec в качестве протокола для установления безопасных соединений между устройствами. Другие протоколы, используемые VPN, включают SSL/TLS и L2TP. Давайте рассмотрим их подробнее:

  1. TLS, преемник SSL, представляет собой криптографический протокол, обеспечивающий безопасность связи в компьютерной сети. TLS хорошо известен тем, что обеспечивает безопасность HTTPS-соединений.
  2. IPsec — это безопасный сетевой протокол, используемый в VPN для аутентификации и шифрования пакетов.
  3. L2TP — это протокол туннелирования, используемый для поддержки VPN. L2TP сам по себе не обеспечивает надежную аутентификацию. IPSec часто используется для защиты пакетов L2TP. Комбинация этих двух протоколов обычно называется L2TP/IPsec.

Набор протоколов IPsec защищает данные, передаваемые через интернет или любую общедоступную сеть, с помощью шифрования между двумя конечными точками. Они часто применяются для установления взаимной аутентификации между компьютерами в начале сеанса и для согласования криптографических ключей.

VPN сервер IPsec обеспечивает несколько уровней безопасности: аутентификацию для защиты любых изменений в пакетах данных и шифрует данные в каждом пакете.

Существует два режима IPsec VPN:

  • IPsec Tunnel Mode VPN — в этом режиме шифруется весь исходящий пакет. Обычно это реализуется на защищенном шлюзе с использованием брандмауэра или порта маршрутизатора.
  • IPsec Transport Mode VPN — в этом режиме шифруются только полезные данные IP и трейлер ESP, передаваемые между двумя конечными точками. В основном это используется во время сквозной связи и не меняет IP-заголовок исходящего пакета.

Как настроить IPsec VPN-сервер

Настройка IPsec VPN относительно несложная. Рассмотрим, как быстро и автоматически настроить собственный IPsec VPN-сервер в дистрибутивах CentOS/RHEL, Ubuntu и Debian Linux.

Для начала вам понадобится выделенный сервер или виртуальный частный сервер (VPS), на котором установлена ​​одна из следующих ОС:

  • Ubuntu 20.04 (Focal) or 18.04 (Bionic);
  • Debian 11 (Bullseye), 10 (Buster) or 9 (Stretch);
  • CentOS 8 or 7;
  • Rocky Linux 8;
  • AlmaLinux OS 8;
  • Red Hat Enterprise Linux (RHEL) 8 or 7;
  • Amazon Linux 2.

Войдите в VPS через SSH, а затем запустите команды для вашего дистрибутива Linux, чтобы настроить VPN-сервер. По умолчанию скрипт сгенерирует для вас случайные учетные данные VPN (предварительный общий ключ, имя пользователя и пароль VPN) и отобразит их в конце установки.

Однако чтобы использовать свои учетные данные, вам сначала необходимо создать надежный пароль и PSK соответственно с помощью следующих команд:

> openssl rand -base64 106xWSdx0q7hrUAQ==> openssl rand -base64 16bcM90acDBKB6qdmsZM63Vg==

Результатом первой команды является пароль, а результатом второй команды — PSK.

Затем установите эти сгенерированные значения, как описано в следующей команде. Все значения должны быть заключены в одинарные кавычки, как показано.

VPN_IPSEC_PSK: 'Your IPsec pre-shared key'VPN_USER: 'Your VPN user name'VPN_PASSWORD: 'Your VPN password'

В CentOS/RHEL или Ubuntu/Debian

wget https://git.io/vpnsetup -O vpnsetup.shVPN_IPSEC_PSK='KvLjedUkNzo5gBH72SqkOA==' VPN_USER='bobalice'
VPN_PASSWORD='8DbDiPpGbcr4wQ==' sudo sh vpnsetup.sh

Вот основные пакеты, которые необходимо установить:

  • bind-utils;
  • net-tools;
  • bison;
  • flex;
  • gcc;
  • libcap-ng-devel;
  • libcurl-devel;
  • libselinux-devel;
  • nspr-devel;
  • nss-devel;
  • pam-devel xl2tpd;
  • iptables-services;
  • systemd-devel;
  • fipscheck-devel;
  • libevent-devel;
  • fail2ban.

Загрузите, скомпилируйте и установите Libreswan из исходного кода, затем включите и запустите необходимые службы. После завершения установки вы увидите отображаемые сведения о VPN в следующем формате:

Server IP: xxx.xxx.xxx.xxxIPsec PSK: VPN_IPSEC_PSKUsername : VPN_USERPassword : VPN_PASSWORD

Теперь VPN-сервер IPsec готов к использованию. Далее рассмотрим, как настроить клиент сервер IPsec VPN на компьютерах с Windows, Linux и OS X.

Как настроить VPN-клиент IPsec

Сочетание L2TP с протоколами IPsec позволит создать VPN-клиент с высоким уровнем защиты. L2TP генерирует туннель, поскольку он не поддерживает шифрование. Протокол IPsec обеспечивает шифрование, безопасность канала и целостность данных, гарантируя, что все пакеты безопасны и не скомпрометированы. Стоит рассмотреть, как происходит настройка IPsec туннеля.

Windows 11

Для настройки VPN-клиента IPsec в Windows 11 следуйте инструкции ниже. В Windows 11 IPsec VPN также поддерживается по умолчанию, и дополнительное программное обеспечение для его установки не требуется.

  1. Нажмите на значок сети в системном трее на панели задач.
  2. Выберите «Настройки сети и интернета».
  3. Прокрутите вниз до раздела «Расширенные настройки сети» и выберите «VPN».
  4. Нажмите «Добавить соединение VPN».
  5. В разделе «Поставщик VPN» выберите «Windows (встроенный)».
  6. В поле «Имя соединения» введите название вашего VPN-соединения для удобства идентификации.
  7. В поле «Имя или адрес сервера» введите IP-адрес вашего VPN-сервера.
  8. В разделе «Тип VPN» выберите «L2TP/IPsec с предварительным ключом».
  9. В поле «Предварительный ключ» введите ваш VPN IPsec PSK (предварительный ключ).
  10. В разделе «Тип входа» выберите предпочитаемый тип учетных данных (обычно это имя пользователя и пароль).
  11. Введите своё имя пользователя и пароль для VPN (если это требуется).
  12. Нажмите «Сохранить».

Теперь ваше VPN-соединение должно отображаться в списке VPN. Для подключения:

  1. Вернитесь в настройки VPN (пункты 1-3 предыдущей инструкции).
  2. Выберите своё VPN-соединение из списка и нажмите «Подключить».

Если вам необходимо настроить дополнительные параметры безопасности или другие расширенные настройки, выполните следующие шаги:

  1. В настройках VPN найдите своё соединение и нажмите на него.
  2. Выберите «Свойства».
  3. Перейдите на вкладку «Безопасность».
  4. Выберите необходимые параметры безопасности, включая типы протоколов и методы аутентификации.
  5. Подтвердите изменения, нажав «ОК».

Убедитесь, что все настройки соответствуют требованиям вашей сети или VPN-сервиса.

MacOS

IPsec VPN поддерживается в OS X по умолчанию. После настройки VPN-сервера выполните следующие действия, чтобы настроить IPsec VPN в OS X.

  1. Откройте «Системные настройки»: Найдите иконку «Системные настройки» на вашем Dock-панели или используйте Spotlight поиск, набрав «Системные настройки», и откройте его.
  2. Перейдите к «Сеть»: В Системных настройках пролистайте до раздела «Сеть» и кликните по нему.
  3. Добавьте новое VPN-соединение: Нажмите на кнопку с символом плюса (+), которая находится в нижней части списка интерфейсов слева, чтобы добавить новое соединение.
  4. Настройте тип VPN: В появившемся окне выберите «VPN» из выпадающего меню «Интерфейс». Затем, в «Тип VPN», выберите «IKEv2», который является более безопасным и современным вариантом по сравнению с «L2TP через IPSec».
  5. Конфигурация службы VPN: Введите название вашего VPN-соединения в поле «Имя службы». Это может быть любое название, которое поможет вам идентифицировать соединение.
  6. Настройки сервера и учетных данных: Введите адрес вашего VPN-сервера в поле «Адрес сервера» и имя учетной записи пользователя в поле «Удаленный ID».
  7. Аутентификация: Нажмите на «Аутентификация» и введите свой пароль VPN и, если требуется, общий секрет или сертификат для аутентификации.
  8. Дополнительные настройки: Перейдите в раздел «Дополнительно» и убедитесь, что установлен флажок «Отправлять весь трафик через VPN-соединение». Это обеспечит, что весь ваш интернет-трафик будет проходить через VPN.
  9. Настройка IPv6: На вкладке «TCP/IP» убедитесь, что в разделе «Настройка IPv6» выбрано «Локальная ссылка», если не хотите использовать IPv6 или ваш VPN не поддерживает его.
  10. Сохраните и подключитесь: Нажмите «ОК», чтобы закрыть дополнительные настройки, а затем «Применить», чтобы сохранить вашу новую VPN-конфигурацию. Выберите созданное VPN-соединение из списка и нажмите «Подключить», чтобы начать использование VPN.

Ubuntu/Linux

Для Ubuntu и других дистрибутивов Linux на базе Ubuntu версий 18.04 и новее, процесс установки и настройки VPN-клиента IPsec/L2TP остается в основном неизменным и актуален на 2024 год. Однако стоит проверить наличие обновлений для пакетов и убедиться в совместимости с вашей версией системы. Вот обновленная инструкция по настройке:

  1. Установка необходимых пакетов:
    • Откройте терминал.
    • Установите пакет network-manager-l2tp и network-manager-l2tp-gnome (для графического интерфейса) с помощью команды:

      sudo apt-get update && sudo apt-get install network-manager-l2tp network-manager-l2tp-gnome

  2. Настройка VPN-соединения:
    • Откройте «Настройки» > «Сеть» > «VPN». Нажмите кнопку «+» для добавления нового VPN-соединения.
    • В появившемся списке выберите «Layer 2 Tunneling Protocol (L2TP)».
    • Введите название вашего VPN-соединения в поле «Имя».
    • В поле «Шлюз» введите IP-адрес вашего VPN-сервера.
    • Введите имя пользователя в поле «Имя пользователя».
    • Щелкните на значок «?» в поле «Пароль» и выберите «Хранить пароль только для этого пользователя», затем введите ваш пароль.
    • Оставьте поле «Домен NT» пустым.
    • Нажмите на кнопку «Настройки IPsec…»:
      • Установите флажок «Включить IPsec для L2TP хоста».
      • Оставьте поле «Идентификатор шлюза» пустым.
      • Введите ваш Pre-shared key (PSK) для IPsec в соответствующее поле.
      • В разделе «Дополнительно», укажите алгоритмы шифрования:
        • Для «Фазы 1» используйте: aes128-sha1-modp2048.
        • Для «Фазы 2» используйте: aes128-sha1.
    • Нажмите «ОК», затем «Добавить» для сохранения настроек VPN-соединения.
    • Активируйте VPN-соединение, переключив соответствующий слайдер в положение «Вкл».

После завершения этих шагов, VPN-соединение должно быть настроено и готово к использованию. Обратите внимание, что конкретные алгоритмы шифрования и другие параметры безопасности могут отличаться в зависимости от требований вашей VPN-сети, поэтому рекомендуется консультироваться с вашим администратором сети или документацией VPN-сервиса.

Заключение

Благодаря IPsec VPN IP-пакеты защищены при прохождении к шлюзу IPsec и от него. Протоколы IPsec реализуют безопасную сеть, которая защищает данные VPN от внешних злоумышленников.



Хотите узнавать больше о технологиях и наших облачных продуктах? Подписывайтесь на нашу рассылку и следите за новостями: Телеграм и Вконтакте.



Новости
13 сентября 202413.09.2024
читать 2 минутычитать 2 мин
Дайджест обновлений продуктов
18 апреля 202418.04.2024
читать 2 минутычитать 2 мин
Дайджест обновлений продуктов Q1
5 апреля 202405.04.2024
читать 1 минутучитать 1 мин
ProCloud CPO Диана Беда в рейтинге ИТ-лидеров от Global CIO
Создать учетную
запись ProCloud
arrow
arrow hover
 
Имя, Фамилия*
Номер телефона
Электронный адрес*
Ваше сообщение*
Файл
Файл
Файл
Файл
Файл
Файл
Файл
Файл
Файл
Файл
Тип формы
ID тикета Zendesk
Продукт
IP
 

Создайте бесплатную учетную запись или напишите нам, чтобы узнать больше.

Нажимая «Отправить заявку» вы даете свое согласие на обработку своих персональных данных