Дали рекомендации по настройке корпоративного VPN-сервера для безопасного доступа сотрудников к корпоративной сети, включая выбор подходящих протоколов и оборудования. Описание вариантов VPN, которые подойдут как для небольших компаний, так и для крупных организаций.
VPN (Virtual Private Network) можно представить как невидимый экран, который защищает данные, пока они передаются между устройством и корпоративной сетью или сервером.
Разновидности VPN
- Site-to-Site VPN используется для соединения офисов компании, независимо от географического расположения филиалов.
- Remote Access VPN обеспечивает сотрудникам доступ к корпоративным ресурсам из любой точки мира.
Как работает шифрование данных
Информация перед отправкой зашифровывается с использованием специальных алгоритмов (например, AES-256). Только отправитель и получатель могут видеть их содержание — для всех остальных это просто «цифровая абракадабра».
Основные протоколы VPN
Протоколы VPN — это правила и методы создания и защиты подключений. Выбор протокола определяет баланс между безопасностью, скоростью и совместимостью устройств.
OpenVPN. Похож на многофункциональный швейцарский нож. Настраивается под любые корпоративные задачи. Подойдёт тем, кто хочет максимального контроля над безопасностью, но для настройки нужен специалист.
L2TP/IPsec. Двойная защита в одном комплекте. L2TP (протокол туннелирования) создаёт соединение, а IPsec добавляет шифрование. Это решение работает «из коробки» на большинстве устройств и упрощает подключение сотрудников.
IKEv2. Обеспечивает баланс скорости и стабильности. Отлично подходит, если ваши сотрудники активно перемещаются между сетями (например, с Wi-Fi на мобильный интернет). Соединение быстро восстанавливается даже при разрыве связи, что особенно важно в дороге.
Правовые аспекты использования VPN в России с учётом изменений законодательства
С 1 декабря 2024 года в России действуют более строгие правила в отношении использования и популяризации VPN. Это связано с усилением контроля за обходом блокировок и защитой от противоправной деятельности.
Использование VPN разрешено для обеспечения безопасности корпоративной информации, для шифрования каналов связи внутри компании, для удалённого доступа сотрудников к внутренним ресурсам, для создания единой корпоративной сети.
Использование VPN запрещено для доступа к ресурсам, заблокированным на территории России. С 2024 года VPN-провайдеры обязаны фильтровать подобные запросы. VPN запрещён для скрытия следов противоправных действий, включая киберпреступления.
Внимание!
Пользуйтесь услугами только тех компаний, которые не включены в реестр запрещённых ресурсов от Роскомнадзора. Обратите внимание, что часть указанных в материале VPN может быть заблокирована на дату прочтения статьи, проверяйте источник в реестре на дату принятия решения.
Облачные решения
NordLayer, Perimeter 81. Подойдут небольшим компаниям или стартапам, где нет ИТ-команды. Легко подключиться и сразу работать.
Собственные серверы
OpenVPN, WireGuard. Для средних и крупных предприятий с опытной ИТ-командой.
VPN создаётся на своём сервере (физическом, виртуальном или облачном). Нужна команда для установки и поддержки сервера.
Аренда VPS/VDS виртуального сервера от AdminVPS — это мощное, надёжное решение для обеспечения корпоративной безопасности по доступной цене, также:
- бесплатное администрирование,
- только быстрые NVMe-диски,
- быстрая техподдержка,
- защита от DDoS-атак.
Готовые устройства
Cisco, MikroTik. Подойдут тем, кто хочет использовать готовое оборудование для настройки под свои задачи. В этом случае приобретается устройство с предустановленным VPN-программным обеспечением. Это иногда дороже, чем другие решения.
Создание корпоративной VPN
Осуществляется в несколько этапов, от подготовки до тестирования.
Ваш маршрутизатор (роутер) должен поддерживать работу с VPN. Эта информация указана в технических характеристиках устройства.
Настройка на основе OpenVPN
Скачивание серверного ПО:
- Зайдите на официальный сайт OpenVPN.
- Скачайте версию для вашей системы (Windows, Linux или macOS).
- Установите программу, следуя инструкциям установщика.
Генерация ключей шифрования. После установки найдите в папке OpenVPN утилиту (приложение) для генерации ключей (EasyRSA).
Установите EasyRSA. Утилита EasyRSA обычно поставляется с OpenVPN или доступна для скачивания с GitHub проекта EasyRSA.
Для инициализации среды откройте терминал или командную строку и перейдите в папку EasyRSA.
Команда:
./easyrsa init-pki
Так создаётся структура для хранения ключей и сертификатов.
Для создания корневого сертификата:
./easyrsa build-ca
Затем введите название компании, местоположение и пароль.
Генерация мастер-ключа. Серверный ключ:
./easyrsa gen-req server nopass
Так формируется ключ и файл запроса сертификата.
Подпишите серверный запрос сертификатом центра сертификации (CA):
./easyrsa sign-req server server
Сохраните сгенерированные файлы (ключи и сертификаты) в защищённой директории. Желательно, чтобы доступ к ним имел только администратор системы.
Настройка конфигурации сервера. Откройте файл server.conf. Найдите папку с OpenVPN, на Windows обычно это:
C:\Program Files\OpenVPN\config
И файл server.conf (или .ovpn). Если он отсутствует, создайте, копируя стандартный пример из папки sample-config.
Для работы с этим файлом используйте текстовый редактор Notepad++. Скачать можно на официальном сайте Notepad++.
Задайте настройки:
- Порт подключения. В строке port укажите, какой порт использовать. По умолчанию это 1194. Если он занят, можно выбрать другой, согласовав это с администратором сети.
- Протокол. Убедитесь, что используется протокол udp, так как он быстрее. Это указано в строке proto udp.
- Тип шифрования. Настройте шифрование, добавив строку cipher AES-256-CBC (современный стандарт для максимальной безопасности).
- После внесения изменений сохраните файл (Ctrl+S).
- Перейдите в приложение OpenVPN и выберите команду «Перезагрузить сервер» для применения новых параметров.
Настройка устройств сотрудников. На оборудовании пользователей (компьютеры или смартфоны) нужно установить приложение OpenVPN, для:
- Windows и macOS загрузите клиент с официального сайта OpenVPN;
- Android и iOS скачайте приложение OpenVPN Connect из Google Play или App Store.
Подготовьте файл client.ovpn для подключения к серверу. Генерируется на сервере во время настройки. Скопируйте его из папки:
C:\Program Files\OpenVPN\config
Передайте файл сотрудникам.
Импортируйте файл:
- откройте приложение OpenVPN на устройствах;
- нажмите «Импортировать» и выберите файл client.ovpn.
Нажмите «Подключиться». Если всё настроено правильно, приложение покажет успешное соединение.
Проверить соответствие адресов IP и VPN-сервера можно на сайте whatismyip.com.
А для теста скорости используйте сервис Speedtest.
Настройка VPN через MikroTik
MikroTik — это популярный производитель маршрутизаторов с поддержкой VPN.
Откройте интерфейс управления MikroTik через браузер. Для этого введите IP-адрес устройства (например, 192.168.88.1) в адресной строке.
Войдите в систему, используя логин и пароль.
Создание профиля VPN (IPsec). В интерфейсе MikroTik перейдите в IP → IPsec.
В меню выберите вкладку Peers и создайте новую запись (нажмите +).
Выбор алгоритма шифрования. В новом окне заполните настройки:
- Address: IP-адрес другого офиса (для Site-to-Site) или 0.0.0.0/0 (для Remote Access);
- Authentication Method: выберите, как аутентифицироваться (например, с использованием предварительно заданного ключа или сертификатов);
- Secret: если выбран ключ, укажите сложный пароль;
- Exchange Mode: выберите ike2 для более современной и быстрой настройки.
Сохраните изменения.
Настройка алгоритмов шифрования. Перейдите во вкладку Proposals.
Добавьте новый профиль (нажмите +) и задайте параметры шифрования:
- Enc. Algorithm: AES-256,
- Hash Algorithm: SHA256,
- DH Group: modp2048.
VPN-соединение. Для соединения офисов (Site-to-Site) создайте профиль на обоих маршрутизаторах, где в Address указывайте IP-адрес второго офиса.
Для удалённых сотрудников (Remote Access) установите адрес 0.0.0.0/0 в разделе Peers и активируйте сервер PPP (Point-to-Point Protocol).
Для настройки перейдите в раздел PPP. Создайте новый профиль (+) для VPN, задав имя, диапазон IP-адресов и алгоритмы шифрования.
Если соединение установлено ― в разделе IPsec → Installed SAs должен появиться активный туннель.
Подключение сотрудников. Создайте учётные данные, добавив в разделе PPP → Secrets нового пользователя:
- Name: имя сотрудника,
- Password: пароль,
- Service: выберите l2tp или pptp (в зависимости от настроек).
На Windows, macOS настройка оборудования производится через стандартные VPN-клиенты.
Для Windows откройте «Сетевые подключения» → Новый VPN.
Введите адрес MikroTik, логин и пароль.
Для проверки подключения зайдите на сайт whatismyip.com с устройства сотрудника. Адрес должен совпадать с адресом офиса.
Установка завершена.
Читайте в блоге: