Как определить vpn соединение на своем компьютере

Как определить vpn соединение на своем компьютере

Чтобы разобраться с настройкой VPN, необходимо понимать, что же это такое. VPN (Virtual Private Network) – это виртуальная частная сеть. В неё входит группа протоколов, с помощью которых можно организовать визуальную сеть поверх незащищенной сети. Её используют для того, чтобы получить доступ в интернет, доступ в корпоративную сеть и объединение её сегментов.

На какие типы делят VPN?

• PPTP (Point-to-point Tunneling Protocol) – туннельный протокол типа точка-точка. Такой протокол организовывает защиту соединения. Для этого создаётся туннель поверх стандартной сети. На данный момент этот тип протокола не рекомендуют, потому что он считается самым небезопасным протоколом. Как организовать такой протокол? Для настройки используются 2 сетевые сессии: PPP и TCP сессия. Для установки PPP сессии необходим протокол GRE. Эту сессию устанавливают для передачи данных. Для управления используется соединение на TCP порту. Из-за такого «строения» протокола в гостиничных и мобильных операторах могут появиться проблемы.
• L2TP (Layer 2 Tunneling Protocol). Этот протокол лучше, чем предыдущий. Он базируется на двух протоколах: PPTP и L2F. В нём объединяется каналы данных и управления, также добавляется шифрование, что делает его более безопасным.Помимо этого, есть ещё одно преимущество L2TP перед PPTP — L2TP намного легче воспринимается большинством брандмауэров, в отличие от PPTP.
• SSTP(Secure Socket Tunneling Protocol) – протокол безопасного туннелирования сокетов. Он основывается на SSL, который является безопасным уровнем сокета и построен на криптографической системе с использованием открытого и закрытого ключа. SSTP допускает создание защищенного соединения из любого места с помощью HTTPS и открытого порта 443. Его самым важным достоинством является эффективное использование сетевых ресурсов.

Для чего используются VPN?

Давайте более детально рассмотрим самые частые сферы применения VPN:

• Выход в сеть интернета. Зачастую, используется провайдерами городских сетей. Но также этот способ достаточно популярен и в сетях предприятий. Главное его преимущество заключается в обладании высоким уровнем безопасности. Этому факту способствует осуществление доступа в интернет через две различные между собой сети. Это позволяет задать для них различные уровни безопасности. Классическое решение подразумевает в себе раздачу интернета в корпоративную сеть. В этом случаи выдержать уровни безопасности для локального и интернет трафика практически невозможно.
• Доступ в корпоративную сеть снаружи. Также существует возможность объединения сетей всех филиалов в одну сеть. Эта функция и есть основной целью разработчиков VPN – возможность организации безопасной работы в единой корпоративной сети для пользователей, месторасположения которых вне предприятия. Достаточно широко применяется в качестве соединителя территориально-разнесенных подразделений, обеспечения выхода в сеть для сотрудников, которые находятся в командировке или же в отпуске, открывает возможность работать, не выходя из собственного дома.
• Объединение компонентов корпоративной сети. Чаще всего сеть предприятия включает в себя определенное количество сегментов, которые имеют различные уровни безопасности и доверия. В этой ситуации для взаимодействия между сегментами можно применить VPN. Это решения считается наиболее безопасным, если сравнивать его с простым соединением. Поступивши таким образом можно организовать доступ сети складов к отдельным ресурсам сети отдела реализации. В связи с тем, что это отдельная логическая сеть, для нее можно задать нужные требования по безопасности и при этом не вмешиваться в функциональный процесс отдельных сетей.

Особенности настройки VPN соединения

Присутствует большая вероятность того, что клиентами VPN будут рабочие станции под управлением операционной системы Windows. Но необходимо выделить, что сервер может беспрепятственно выполнять свои основные функции как под Windows, так и под Linux или BSD. В связи с этим мы приступим к рассмотрению Windows 7. Не стоит останавливать свое внимание на базовых настройках. В них нет ничего сложного, и они понятны абсолютно каждому пользователю. Нужно остановиться на одном тонком нюансе:

• Во время подключения стандартного VPN соединения главный шлюз будет указан для VPN сети, иными словами, на клиентской машине интернет полностью исчезнет или же будет использоваться через подключения в какой-либо удаленной сети. Такое неудобство может привести к существенным финансовым затратам – двойной оплате трафика (первый раз оплачивается удаленная сеть, а во второй раз сеть провайдера). Чтобы не допустить таких ситуаций необходимо на закладке «Сеть», в свойствах протокола TCP/IPv4, нажать кнопку «дополнительно» и в новом открытом окне снять галочку с позиции «Использовать основной шлюз в удаленной сети». На рисунке можно визуально ознакомиться с этим действием.

Этот вопрос не требовал подробного рассмотрения, если бы не массовые возникновения проблем и незнание причин такого странного поведения VPN соединения у многих системных сотрудников.

Что же такое маршрутизация? Если особо не вдавться в подробности темриналогий то можно сказать, что это совокупность правил, которые определяют маршрут следования данных в связных сетях. Их можно сравнить с дорожными указателями и разметкой. Представьте себе ситуацию: вы попали в совершенно чужой для вас город, где отсуствуют какие-либо знаки и разметка на перекрестках. Вы впадаете в растерянность. Аналогичная ситуация происходит и в сетях. Люые сетевые пакеты осуществляют свое передвижение согласно определенному набору правил – таблиц маршрутизации. Именно благодаря им можно отправить документ на сетевой принтер для его распечатки, а электронное письмо попадет точно адрессату.

Если же вы желаете использовать VPN соединение в качестве работы удаленных клиентов в корпоративной сети, то возникает необходимость настройки маршрутов. Если же не провести этот процесс, то, как тогда пакет самостоятельно определит, что ему необходимо именно через туннель попасть в вашу корпоративную сеть? Вы же не указываете в почтовом письме или телеграмме, что ее нужно доставить «бабушке в деревню».

На сегодняшний день известны несколько способов построения виртуальной сети. Каждый из них подразумевает в себе свою уникальную схему маршрутизации. Давайте рассмотрим их подробней:

Все клиенты получают адреса из диапазона локальной сети

Этот вариант функционирует только при условии поддержки со стороны Proxy ARP, позволяющий объеденить две не связные между собой сети в одну целую. Считается, что все хосты расположены на одной физической сети и обмениваются траффиком без дополнительной маршрутизации.

Основными преимуществами этого способа являются простота и полный доступ к сети удаленных клиентов. Однако в таком случае вы получаете низкий уровень безопасности и невозможность разграничения доступа между пользователями локальной сети и VPN клиентам.

В результате клиенты могут получить адреса из диапазона, не являющегося частью локальной сети, но который маршрутизируется из нее.

В таком случае удаленные клиенты выделяются в отдельную подсеть (на картинке это 10.0.1.0/24). При этом на рисунке видно, что обе подсети могут быть составляющими общей сети — 10.0.0.0/23. Таким образом, управление структурой может осуществляться с помощью маршрутизации или маски подсети.

Первый вариант заключается в перемещении компьютеров в сеть 10.0.0.0/23 (для этого необходимо изменить маску сети на 255.255.254.0), что предоставит ему доступ к обеим подсетям.

Второй вариант состоит в направлении пакетов из одной подсети в другую с помощью шлюза. Этот способ лучше подходит для этой ситуации, так как мы получим возможность настраивать правила для разных подсетей, создавая разные уровни доверия.

Для того чтобы получить доступ с клиентского компьютера, находящегося в одной подсети, в другую, следует использовать статическую маршрутизацию. Записи будут иметь такой шаблон:

X.X.X.X mask Y.Y.Y.Y Z.Z.Z.Z

В этом шаблоне сеть — Х.Х.Х.Х, маска сети — Y.Y.Y.Y, а шлюз — Z.Z.Z.Z. для того чтобы добавить маршрут в ОС Windows нужно воспользоваться командой routeadd. Общая запись команды выглядит так:

routeadd X.X.X.X mask Y.Y.Y.Y Z.Z.Z.Z

В ОС Linux запись немного меняет свою форму, но в целом остается неизменной:

routeadd -net X.X.X.X netmask Y.Y.Y.Y gw Z.Z.Z.Z

Стоит отметить, что команды действуют до первой перезагрузки. Хотя это создает определенные трудности, этим свойством можно воспользоваться при ошибке в создании маршрута. После того как вы убедились, что всё работает правильно, следует добавить постоянные маршруты. Для этого к уже известной нам команде следует добавить ключ –p:

routeadd X.X.X.X mask Y.Y.Y.Y Z.Z.Z.Z -p

Чтобы осуществить это в Ubuntu, после описания интерфейса в файле /etc/network/interfaces, следует добавить строку:

uprouteadd -net X.X.X.X netmask Y.Y.Y.Y gw Z.Z.Z.Z

Теперь вернемся к маршрутам. Для того чтобы предоставить доступ к локальной сети, следует для удаленных клиентов прописать к ней маршрут:

10.0.0.0 mask 255.255.255.0 10.0.1.1

И наоборот: для осуществления доступа из локальной сети к ПК удаленных клиентов следует прописать

10.0.1.0 mask 255.255.255.0 10.0.0.1

Такую схему рекомендуется использовать в большинстве случаев, ведь вы сможете регулировать права клиентов в локальной сети.

Удаленные клиенты имеют адреса, которые не являются частью локальной сети, но могут из нее маршрутизироваться.

Обратите внимание, что эта схема не рассчитана на маршрутизацию из локальной сети в удаленную. Зачастую она используется для предоставления доступа клиентам с низкой степенью доверия. Таким образом, клиентам доступны только опубликованные в VPN ресурсы. Стоит отметить, что для доступа к локальной сети этого недостаточно — дополнительно следует настроить сервер на трансляцию пакетов из удаленной сети в локальную и обратно.

Публикацию ресурса в сети VPN можно осуществить следующими путями: с помощью размещения его на VPN сервере и разрешению доступа к нему из удаленной сети, путем прокинутого порта в удаленную сеть или же подключения ресурса в роли клиента сети. Ниже представлена схема, на которой изображен сервер терминалов с маршрутом 10.0.0.2, доступный по адресу 172.16.0.2 удаленной сети.

VPN Соединение двух подсетей

Приведенная схема служит для соединения нескольких подсетей в целостную единственную сеть. Такая сеть имеет более сложную структуру. Однако если понять процесс направления пакетов через интерфейсы, сразу все становится на места. При данных условиях X.X.X.X — IP адрес основного офиса, а филиалы имеют серые IP адреса. Роутер офиса осуществляет подключение в качестве клиента. На нем находится VPN сервер.

Теперь поговорим о маршрутизации. Клиенты подсети LAN1 производят передачу пакетов к подсети LAN2 на сетевой шлюз роутера. Равным образом роутер передает пакеты на противоположный конец VPN туннеля. Точно такая же маршрутизация должна быть проведена для подсети LAN2.

Для этого необходимо написать маршрут к LAN2 на клиентах подсети LAN1:

10.0.1.0 mask 255.255.255.0 10.0.0.1

Нужно также прописать маршрут другого конца туннеля на роутере LAN1:

10.0.1.0 mask 255.255.255.0 172.16.0.2

Для клиентов LAN2 маршруты должны иметь следующий вид:

10.0.0.0 mask 255.255.255.0 10.0.1.1

PPTP является простым в реализации протоколом. Но не стоит забывать о том, что не нужно использовать его при работе с важнейшими данными, поскольку PPTP – слабозащищенный протокол.

Созданная нами в тестовой лаборатории схема, которая поможет практически ознакомиться с технологией:

Мы имеем локальную сеть 10.0.0.0/24, в которой расположен роутер, выполняющий функции VPN сервера терминальный сервер. Для VPN была закреплена сеть с маршрутом 10.0.1.0/24. Наружный вид сервера имеет условленный адрес X.X.X.X. Нам необходимо предоставить доступ удаленным клиентам к ресурсам терминального сервера.

Настройка сервера PPTP

Устанавливаем пакет pptpd:

sudo apt-get install pptpd

Далее запускаем /etc/pptpd.conf и задаем наиболее важные настройки VPN сервера. Для этого указываем в конце файла адрес сервера:

Для выдачи клиентам указываем диапазон адресов:

Не перезапустив pptpd, невозможно будет увеличить количество адресов, поэтому необходимо задавать их с запасом. Необходимо также найти и переписать строку:

Существует две опции, которые возможно использовать. Это listen и speed. С помощью listen указывается IP адрес от локального интерфейса. Нужно это с целью прослушивания РРТР-соединения. Второй – speed – позволяет с точностью показать VPN-соединения в бит/с. В качестве примера можно взять разрешение для серверов прием РРТР-соединения, но лишь при внешнем интерфейсе:

В файле /etc/ppp/pptpd—options находятся настройки намного тоньше. Принимая настройки «по умолчанию», это будет наиболее соответствовать необходимым требованиям. Для лучшего представления стоит рассказать о нескольких из них.

За шифровку приложенных данных, а также проверку на подлинность несет ответственность секция #Encryption. Любой предположительно опасный протокол типа CHAP, PAP и MS-CHAP, устаревшие протоколы запрещаются опциями:

Следующим этапом является применение протокола проверки на подлинность (MS-CHAP v2, а также 128-битное MPPE-128):

Далее стоит упомянуть о секции #Network и Routing. Секция для использования DNS-серверов, ориентируясь на внутреннюю сеть. Почему это, вероятнее всего, станет весьма выгодным? Потому что позволяет обратить сигнал напрямую к компьютеру через имена, не исключительно через IP. Такое возможно при содержании в DNS всех портативных компьютеров. Но в нашей ситуации вышеуказанная опция совершенно бесполезна. В этом случае нужно всего лишь ввести адрес WINS-сервера через опцию ms-wins.

В том же разделе имеется proxyarp опция. Она включает в себя поддержание с помощью сервера Proxy ARP.

Следующая секция #Miscellaneous и содержащаяся в ней lock-опция. Лимитирует возможности любого клиента всего лишь через одно подключение.

Настраивание сервера вполне можно считать завершенным процессом. Последнее, что осталось, это разработать самих пользователей. Для того чтобы сделать это, внесите в /etc/ppp/chap-secrets все нужные записи:

ivanov * 123 *
petrov * 456 10.0.1.201

Первая запись дает возможность подключиться к серверу пользователю, пароль которого 123, а также присваивается персональный IP-адрес. Вторая запись создает следующего пользователя. Она так же выдает ему постоянный адрес (10.0.1.201).

Далее нужно перезапустить pptpd:

sudo /etc/init.d/pptpd restart

Обратите внимание! В тех случаях, когда pptpd отказывает в перезапуске, виснет, /var/log/syslog выдает строчку о long config file line ignored, незамедлительно вводите в конце файла /etc/pptpd.conf перенос строчки.

Наконец, сервер полностью подготовлен к работе.

Настройка клиентского компьютера

В большинстве случаев для VPN соединения подходят настройки «по умолчанию», но не будет лишним указать конкретный тип соединения и отключить протоколы шифрования, которые не будут использоваться.

После этого, нужно прописать адреса статических маршрутов и основного шлюза, при этом учитывая особенности структуры сети. Данные вопросы рассматривались в прошлых разделах.

После установки VPN соединения можем пропинговать любой компьютер, входящий в локальную сеть, так мы без особого труда получаем доступ к терминальному серверу:

Внимание, еще одно важное замечание! Зачастую доступ к ПК в локальной сети будет осуществляться по IP адресам. Имеется в виду – путь \\\\10.0.0.1 будет рабочим, а \\\\SERVER – не будет работать. Такой вариант будет весьма непривычным для пользователей и может вызвать дополнительные трудности. От этих проблем можно избавиться несколькими способами:

1. Если ваша сеть построена на основе доменной структуры, тогда необходимо для VPN соединения адресом DNS-сервера указать адрес сервера контроллера домена. Можно воспользоваться функцией в настройках сервера ms-dns в /etc/ppp/pptpd-options и данные настройки клиентом будут получаться автоматически.
2. Если в вашей сети отсутствует DNS сервер, тогда можно создать WINS-сервер и аналогично настроить для него автоматическую передачу данных для клиентских компьютеров, используя опцию ms-wins.
3. Если количество удаленных клиентов невелико, вы можете настроить файлы hosts на каждом из компьютеров, прописав в них строку вида: 10.0.0.2 SERVER. Файл hosts вы можете найти в папке (C:\\Windows\\System32\\drivers\\etc\\hosts).

Основой нашего сервера стал маршрутизатор, использующий WindowsServer 2008 R2. Настройка сервера рассматривалась ранее. Настройки актуальны и для серверов на основе WindowsServer 2003 – 2008 с небольшими особенностями.

Настройка закончена и, в крайнем случае, в процессе запуска мастера, необходимо будет выбрать нужную конфигурацию. При открытии диспетчера сервера, в ролях нужно найти «маршрутизация и удаленный доступ» зайти в ее свойства (открывается при помощи правой кнопки мыши). В появившемся окне, нужно установить переключатель «IPv4» в состояние локальной сети и вызова по требованию и установить галочку напротив «IPv4 сервер удаленного доступа».

После данных манипуляций нужно в закладке «безопасность» выбрать проверку подлинности при помощи протокола MS-CHAPV2 и запретить подключение без проверки.

Далее следует еще одна закладка IPv4. На ней нужно обозначить из какого диапазона значений клиенты VPN сети будут получать свои адреса, и установить интерфейс, который будет принят подключением.

После сохранения изменений, служба перезапустится и добавится роль VPN сервера. В консоли (левая часть) должен появиться пункт «порты», в его свойства нам и нужно зайти. По умолчанию система создает 5 PPTP и 5 L2TP портов. В настройках PPTP устанавливаем галочки напротив подключения по требованию и подключения удаленного доступа. Кроме этого, необходимо указать максимальное количество портов. Все лишние порты рекомендуется отключить.

На данном этапе настройка сервера может считаться оконченным действием. Необходимо лишь определить количество пользователей, для которых будет доступен удаленный доступ к серверу.

Настройка доступа производится разделе локальных пользователей и групп, где находим «свойства пользователя» и разрешаем доступ в разделе «права доступа к сети» во «входящих звонках».

Чтобы удостовериться в правильности всех настроек, нужно подключиться из клиентского компьютера, при этом выбрав нужный нам тип проверки доступа. Список подключенных клиентских компьютеров можно увидеть в консоли, где расположен пункт «Клиенты удаленного доступа».

Для произведения диагностики проблем с подключением в первую очередь необходимо изучать журнал событий, в котором фиксируются все наиболее важные происшествия. В описаниях вы сможете найти полную информацию для быстрого обнаружения и устранения возникшей проблемы.

>Видео: Настройка VPN сервера на Windows 7

Настройка VPN (L2TP/IPsec) для Android, iPhone и iPad. Бесплатные сервера VPN Gate

• Настройка VPN (L2TP/IPsec) для Android
• Настройка VPN (L2TP/IPsec) для iPhone / iPad
• Настройка OpenVPN Connect для Android, iPhone и iPad

Настройка VPN (L2TP/IPsec) для Android

Данная инструкция демонстрирует, как подключиться к серверу ретрансляции VPN Gate с помощью L2TP/IPsec VPN клиента, встроенного в мобильную операционную систему Android.

1. Предварительная конфигурация

• Перейдите в приложение Настройки.
• В секции сетевых настроек нажмите «Еще» и выберите опцию «VPN».
• Нажмите кнопку Добавить сеть VPN.
• Откроется экран настройки нового VPN-подключения. Введите произвольное название в поле имя, например, «vpn» и выберите тип подключения L2TP/IPSec PSK.
• На данном экране нужно ввести либо имя узла, либо IP-адреса сервера из пула открытых серверов VPN Gate https://www.vpngate.net/en/.
• Откройте список публичных серверов ретрансляции и выберите VPN-сервер, к которому хотите подключиться.

Важная информация

Для столбца L2TP/IPsec Windows, Mac, iPhone, Android No client required в списке серверов должна быть отмечена галочка, которая сообщает о поддержке настраиваемого протокола L2TP/IPsec.

• Скопируйте имя узла DDNS (идентификатор, который заканчивается на «.opengw.net») или IP-адрес (цифровое значение xxx.xxx.xxx.xxx) и введите его в поле “Адрес сервера” на экране конфигурации. Примечание: рекомендуется использовать имя DDNS — его можно продолжать использовать, даже если соответствующий DDNS IP-адрес в будущем изменится. Тем не менее, в некоторых странах у вас не получиться использовать имя узла DDNS — в этом случае следует использовать IP-адрес.
• Прокрутите вниз и отметьте галочку “Дополнительно”, если она доступна.
• Введение vpn в поле «Общий ключ IPSec».
• В поле “Маршруты пересылки” введите 0.0.0.0/0. Убедитесь, что вы правильно ввели значение этого поля. В противном случае, вы не сможете установить подключение к VPN-серверу.
• После этого нажмите кнопку “Сохранить”.

2. Запуск VPN-подключения

• Вы можете в любое время установить новое подключение к VPN-серверу. Откройте настройки VPN, и вы увидите следующий список.
• Введите vpn в поля “Имя пользователя” и “Пароль” при первом использовании. Отметьте галочку “Сохранить учетные данные”. Нажмите кнопку Подключиться, чтобы установить VPN-подключение
• После установки VPN-подключения у соответствующей записи из списка VPN появится статус Подключено. На устройстве Android может появится уведомление об активации VPN. Нажмите по сообщению, чтобы посмотреть статус текущего подключения.

3. Интернет без ограничений

Когда соединение установлено, весь трафик будет проходить через VPN-сервер. Вы также можете перейти на сайт ip8.com, чтобы посмотреть глобальный IP-адрес.. Вы сможете увидеть видимое из сети местоположение, которое будет отличаться от вашей фактической локации.

При подключении к VPN вы сможете посещать заблокированные веб-сайты и использовать заблокированные приложения.

Настройка VPN (L2TP/IPsec) для iPhone, iPad

Данная инструкция демонстрирует, как подключиться к серверу ретрансляции VPN Gate на iPhone / iPad с помощью L2TP/IPsec VPN клиента, встроенного в iOS.

1. Предварительная конфигурация

• На главном экране iPhone / iPad выберите приложение Настройки.
• Выберите опцию VPN (или перейдите в меню «Основные > VPN»), затем нажмите Добавить конфигурацию VPN.
• На странице настроек выберите Тип > L2TP и добавьте название соединения в поле Описание, например «VPN Gate».
• Далее на данном экране нужно ввести либо имя узла, либо IP-адреса сервера из пула открытых серверов VPN Gate https://www.vpngate.net/en/ (для столбца L2TP/IPsec Windows, Mac, iPhone, Android No client required в списке серверов должна быть отмечена галочка).
• Откройте список открытых серверов ретрансляции и выберите VPN-сервер, к которому хотите подключиться.

Для столбца L2TP/IPsec Windows, Mac, iPhone, Android No client required в списке серверов должна быть отмечена галочка, которая сообщает о поддержке настраиваемого протокола L2TP/IPsec.

• Скопируйте имя узла DDNS (идентификатор, который заканчивается на «.opengw.net») или IP-адрес (цифровое значение xxx.xxx.xxx.xxx) и введите его в поле Сервер на экране конфигурации. Примечание: рекомендуется использовать имя DDNS — его можно продолжать использовать, даже если соответствующий DDNS IP-адрес в будущем изменится. Тем не менее, в некоторых странах у вас не получиться использовать имя узла DDNS — в этом случае следует использовать IP-адрес.
• Введите vpn в поля «Учетная запись», «Пароль» и «Общий ключ», затем нажмите «Готово».

2. Запуск VPN-подключения

• Вы можете в любое время установить новое подключение к VPN-серверу, выбрав необходимую конфигурацию в меню настроек VPN и установив переключатель Статус в положение «Вкл».
• iOS показывает индикатор «VPN» в верхней панели, если VPN-подключение установлено.
• Перейдя в конфигурацию, вы можете получить следующую информацию: назначенный IP-адрес и время подключения.

3. Интернет без ограничений

Когда соединение установлено, весь трафик будет проходить через VPN-сервер. Вы также можете перейти на сайт ip8.com, чтобы посмотреть глобальный IP-адрес.. Вы сможете увидеть видимое из сети местоположение, которое будет отличаться от вашей фактической локации.

При подключении к VPN вы сможете посещать заблокированные веб-сайты и использовать заблокированные приложения.

Насколько легко обнаружить использование VPN?

Виртуальные частные сети (VPN) решают множество проблем конфиденциальности. Поскольку VPN обычно шифрует ваш трафик между вашим компьютером и провайдером VPN, наблюдателю очень трудно просматривать ваш трафик, чтобы увидеть, что вы делаете. Однако есть много людей, которые хотят скрыть тот факт, что они вообще используют VPN; например, люди в странах, которые запрещают VPN, или другие ситуации, когда использование VPN обычно не разрешено или заблокировано техническими средствами. В этой статье мы сосредоточимся на типе данных, которые наблюдатель может собирать при захвате сетевых пакетов, и на том, как эти данные можно использовать для обнаружения использования VPN..

Предыстория проблемы

Жгучий вопрос «почему»? Кого волнует, если кто-то узнает, что вы используете VPN? Если трафик все равно сильно зашифрован, в чем проблема?

Это правда, что во многих ситуациях и во многих странах вообще не имеет значения, обнаружит ли наблюдатель использование VPN. Однако во многих странах запрещено использование VPN, и поэтому пользователям VPN в этих странах важно знать, как их можно обнаружить..

Чтобы определить, используется ли VPN, наблюдатель должен иметь доступ к маршрутизатору, через который проходит целевой трафик. В случае целевой жертвы злоумышленник может потратить большие ресурсы, чтобы определить способ захвата маршрутизатора, который использует конкретная жертва. В случае надзора за национальным государством эффективное обнаружение потребовало бы контроля большого количества маршрутизаторов. Когда вы объединяете эти две вещи — организацию, которая заботится о том, используете ли вы, и VPN а также имеет возможность контролировать большое количество маршрутизаторов, что обычно указывает на действующего на уровне страны субъекта.

Помните, что в этой статье рассматриваются способы, с помощью которых наблюдатели могут обнаружить использование VPN. Это не обязательно означает, что данные, зашифрованные в VPN-туннеле, легче использовать.

Методология тестирования

Без доступа к ресурсам на уровне государства моя платформа и методология тестирования немного меньше по масштабу. Я создал небольшую внутреннюю сеть, используя три виртуальные машины (ВМ) с VirtualBox. Топология сети такова:

Я установил программное обеспечение для отслеживания пакетов на виртуальной машине маршрутизатора OpenWRT, а затем протестировал различные конфигурации VPN на двух других виртуальных машинах. Программное обеспечение для отслеживания пакетов, tcpdump, позволило мне захватывать сетевой трафик виртуальных машин для анализа. При более реалистичной настройке программное обеспечение для захвата пакетов, вероятно, будет установлено на маршрутизаторах в Интернете или, по крайней мере, в сети интернет-провайдера. Стратегическое размещение программного обеспечения для анализа потребовало бы определенных знаний о точках конвергенции в Интернете, где целевой трафик, вероятно, будет течь. В своей тестовой сети я со 100% уверенностью знаю, что весь трафик на мои виртуальные машины и с них будет проходить через этот маршрутизатор OpenWRT. Поэтому для меня это лучшее место для размещения инструментов для сбора.

Нетехнические источники индикаторов VPN

Не все источники данных, которые указывают на использование VPN, являются техническими. Хотя некоторые из них очень технические, такие как анализ пакетов, некоторые из них очень нетехнические, такие как человеческие ошибки и распорядок дня.

Непреднамеренный сетевой трафик

Большинство пользователей VPN имеют клиентское программное обеспечение, которое должно быть запущено, чтобы установить VPN. Очень трудно гарантировать, что трафик не будет проходить через Интернет до того, как VPN будет установлен при загрузке компьютера. Даже те VPN с коммутаторами kill могут не иметь ничего общего с трафиком, который проходит во время загрузки системы.

Чтобы проверить это, я установил параметры автоматического подключения и отключения VyprVPN на виртуальной машине Windows. Затем я выключил компьютер с Windows, запустил захват пакетов на маршрутизаторе OpenWRT и запустил компьютер с Windows. Это породило много пакетов, и эти две последовательности представляют интерес..

Во-первых, мы можем увидеть множество пингов для аналогичного диапазона IP-адресов. Я специально не группировал эти пакеты — вот как они были отправлены органически:

Это говорит о том, что что-то пытается перечислить серверы. Очень распространенной причиной такого типа трафика в сценарии VPN является VPN-клиент, пытающийся определить самый быстрый сервер. Один из способов сделать это — отправить пакет ICMP (известный как ping) на ряд серверов, чтобы узнать, какие из них вернутся быстрее всего..

Из первого скриншота видно, что 209.99.63.34 вернул самый быстрый результат за 99 миллисекунд. Далее, при захвате пакета, мы внезапно видим, что большая часть трафика с этого момента зашифрована и предназначена для 209.99.63.34

Следующая часть головоломки — выяснить, что находится на этих IP-адресах. Используя IP WHOIS, в котором указан зарегистрированный владелец IP, мы видим, что все, кроме одного из этих IP, принадлежат корпорации YHC и подключаются к серверам в центре обработки данных Data Foundry:

209.99.108.46
OrgName: Корпорация YHC
OrgTechEmail: [email protected]
209.99.109.167
OrgName: Корпорация YHC
OrgTechEmail: [email protected]
209.99.113.70
OrgName: Корпорация YHC
OrgTechEmail: [email protected]
209-99-115-97
209.99.117.82
OrgName: Корпорация YHC
OrgTechEmail: [email protected]
209.99.21.36
OrgName: Корпорация YHC
OrgTechEmail: [email protected]
OrgTechEmail: [email protected]
209.99.22.46
OrgName: Корпорация YHC
OrgTechEmail: [email protected]
209.99.60.34
OrgName: Корпорация YHC
OrgTechEmail: [email protected]
209.99.61.42
OrgName: Корпорация YHC
OrgTechEmail: [email protected]
209.99.62.34
OrgName: Корпорация YHC
OrgTechEmail: [email protected]
OrgName: Powerhouse Management, Inc.
OrgTechEmail: [email protected]
209.99.63.34
OrgName: Корпорация YHC
OrgTechEmail: [email protected]
209.99.63.34
OrgName: Корпорация YHC
OrgTechEmail: [email protected]
209.99.67.41
OrgName: Корпорация YHC
OrgTechEmail: [email protected]
209.99.72.70
OrgName: Корпорация YHC
OrgTechEmail: [email protected]
209.99.75.70
OrgName: Корпорация YHC
OrgTechEmail: [email protected]
209.99.93.34
OrgName: Корпорация YHC
OrgTechEmail: [email protected]
209.99.94.37
OrgName: Корпорация YHC
OrgTechEmail: [email protected]
209.99.95.40
OrgName: Корпорация YHC
OrgTechEmail: [email protected]

Следующим логичным шагом будет сканирование этих IP-адресов, чтобы увидеть, какие службы они используют. Я не буду приводить подробности о том, как это сделать, но мое тестирование показывает, что баннеры подключений по умолчанию, которые отображаются на большинстве серверов, были удалены с серверов VyprVPN, поэтому нет очевидных признаков того, что эти IP-адреса работают с VPN-сервером..

Вы не можете ничего сделать о том, как работает ваш компьютер до загрузки. Поэтому, если вы хотите запутать этот тип последовательности установки, вам нужно будет запустить VPN «перед» вашим компьютером. Запуск VPN-клиента на вашем маршрутизаторе вместо запуска клиента на вашем компьютере — один из способов сделать это. При перезапуске маршрутизатора вы по-прежнему будете запускать те же последовательности запуска, но обычно это происходит реже, чем ваш компьютер..

Нет незашифрованных пакетов

Как я упоминал выше, после завершения эхо-запросов захват пакета показывает зашифрованный трафик с самым быстрым IP-адресом. Если наблюдатель видит только зашифрованные пакеты, а не один незашифрованный пакет, это может быть признаком использования VPN. Хотя мир быстро движется к шифрованию как можно большего количества данных в сети, все еще существуют некоторые запросы, которые обычно не шифруются. К ним относятся запросы поиска DNS, запросы NNTP (сервера времени) и несколько других запросов протокола, таких как FTP и Telnet, которые иногда используются в некоторых наших приложениях, но вообще не поддерживают шифрование.

Утечки из небрежного человеческого обеспечения безопасности (OpSec)

Большое количество значимых данных может быть получено от цели с помощью, казалось бы, тривиальной информации. Многие люди тратят много времени и усилий, смягчая то, что они воспринимают как «важные» вещи, только для того, чтобы их можно было идентифицировать по тривиальной информации, о которой они не думали. Некоторые примеры включают длинную память об Интернете, которая показала, что администратор электронной почты Хиллари Клинтон, скорее всего, был парнем по имени Пол Комбетта; Dread Pirate Roberts, AKA Ross Ulbricht, предполагаемый вдохновитель нелегального интернет-рынка Шелкового пути, преследовался в основном из-за данных на его ноутбуке, которые были физически отобраны у него во время отвлечения в публичной библиотеке.

Менее драматично, наблюдатели могут часто использовать такие вещи, как циклы активности, чтобы определить часовой пояс цели или наличие специальных символов в сообщении, чтобы идентифицировать языковую раскладку, соответствующую стране цели. Не существует полного перечня вещей, которые следует учитывать при рассмотрении вопросов безопасности операций, поскольку разработка новых способов перекрестных ссылок на данные — это в основном упражнение на воображение и ресурсы.

Тем не менее, есть некоторые конкретные вещи, которые относятся к захвату пакетов, которые могут идентифицировать использование VPN.

Контрольные знаки из пакетных метаданных

Ключи PFS предсказуемы

Поскольку трафик VPN обычно шифруется, он обычно скрыт от посторонних глаз. Шифрование работает, потому что зашифрованные данные очень трудно «взломать», чтобы раскрыть их открытый текст. На самом деле, взломать шифрование так сложно, что крупномасштабные проекты наблюдения иногда просто собирают все данные, которые могут, в надежде, что они смогут взломать шифрование в будущем, когда мощность компьютера увеличится, или они смогут получить ключи которые были использованы для шифрования данных. Perfect Forward Secrecy (PFS) — это метод, который можно использовать для предотвращения последнего сценария..

Perfect Forward Secrecy повторно генерирует ключи шифрования, используемые для периодического шифрования трафика VPN. Когда генерируется новая пара ключей, предыдущая пара уничтожается. Это означает, что любые собранные зашифрованные пакеты не могут быть расшифрованы позднее, потому что ключ, используемый для их шифрования, больше не существует.

OpenVPN поддерживает PFS. Во время сбора данных для этой статьи я снизил ключевую частоту циклов до 10 секунд, чтобы зафиксировать происходящий процесс. Я обнаружил, что когда происходит регенерация ключа, генерируется следующая последовательность пакетов:

09: 01: 48.461276 IP 192.168.1.204.openvpn > 104.254.92.61.openvpn: UDP, длина 94
09: 01: 54.749114 IP 192.168.1.204.openvpn > 104.254.92.61.openvpn: UDP, длина 65
09: 01: 58.895381 IP 192.168.1.204.openvpn > 104.254.92.61.openvpn: UDP, длина 86
09: 01: 58.951091 IP 192.168.1.204.openvpn > 104.254.92.61.openvpn: UDP, длина 94
09: 01: 58.951614 IP 192.168.1.204.openvpn > 104.254.92.61.openvpn: UDP, длина 259
09: 01: 59.007916 IP 192.168.1.204.openvpn > 104.254.92.61.openvpn: UDP, длина 94
09: 01: 59.008027 IP 192.168.1.204.openvpn > 104.254.92.61.openvpn: UDP, длина 94
09: 01: 59.008265 IP 192.168.1.204.openvpn > 104.254.92.61.openvpn: UDP, длина 94
09: 01: 59.008300 IP 192.168.1.204.openvpn > 104.254.92.61.openvpn: UDP, длина 94
09: 01: 59.062927 IP 192.168.1.204.openvpn > 104.254.92.61.openvpn: UDP, длина 256
09: 01: 59.106521 IP 192.168.1.204.openvpn > 104.254.92.61.openvpn: UDP, длина 575

Примечательной особенностью этой последовательности является то, что размеры пакетов идентичны каждый раз, когда происходит регенерация ключа. Поэтому всякий раз, когда я видел последовательность пакетов с этими размерами при захвате моего пакета, я знал, что происходит циклическое переключение ключей:

Возможно, любой повторяющийся процесс теоретически генерировал бы повторяющуюся последовательность пакетов, подобных этому, но он все еще может использоваться в качестве индикатора того, что PFS может быть в игре. В сочетании с другими данными этой информации может быть достаточно для подтверждения подключения VPN.

Все пакеты предназначены для одного и того же IP

Во время обычного использования Интернета люди и компьютеры запрашивают данные с разных сайтов. Каждый из этих сайтов имеет свой IP-адрес. При использовании VPN каждый отдельный пакет направляется на сервер VPN. Сервер VPN снимает уровень шифрования VPN с каждого пакета, чтобы выявить реальный пакет, а затем отправляет его по пути к его фактическому месту назначения. VPN-сервер делает то же самое с ответами. Он получает ответные пакеты, упаковывает их в уровень шифрования и затем отправляет пакет на компьютер пользователя..

Захват пакетов, который показывает, что компьютер отправляет 100% своего трафика на один IP-адрес, является хорошим показателем того, что используется VPN или прокси.

Psiphon — это инструмент обхода цензуры в Интернете. У него есть интересная функция, которая может в некоторой степени бороться с этим. Он имеет режим разделенного туннеля, который использует туннель Псифон только для трафика, который покидает вашу страну..

Чтобы увидеть, как это выглядит на уровне пакетов, я запустил Psiphon и протестировал два сайта. Я нахожусь в Канаде, и вот пример трафика, который предназначен нашему регистратору доменов .CA. В этом случае мой пункт назначения хорошо виден при захвате пакета.

8: 30: 14.213668 IP 192.168.1.210.58787 > www.cira.ca.https: Flags [.], ack 1026833, win 64240, длина 0
08: 30: 14.229178 IP www.cira.ca.https > 192.168.1.210.58787: Flags [.], Seq 1026833: 1028293, ack 715, win 5094, длина 1460
08: 30: 14.229427 IP www.cira.ca.https > 192.168.1.210.58787: Флаги [.], След. 1028293: 1031213, подтверждение 715, выигрыш 5094, длина 2920
08: 30: 14.229781 IP 192.168.1.210.58787 > www.cira.ca.https: Flags [.], ack 1031213, win 64240, длина 0

Затем я посетил веб-сайт Comparitech, который находится в Соединенных Штатах:

8: 29: 48.028789 IP li832-56.members.linode.com.ssh > 192.168.1.210.58659: Флаги [P.], seq 107809: 108277, ack 19080, победа 1392, длина 468
08: 29: 48.029101 IP 192.168.1.210.58659 > li832-56.members.linode.com.ssh: Флаги [.], ack 108277, победа 856, длина 0
08: 29: 48.029306 IP 192.168.1.210.58659 > li832-56.members.linode.com.ssh: Flags [P.], seq 19080: 19132, ack 108277, победа 856, длина 52
08: 29: 48.108658 IP li832-56.members.linode.com.ssh > 192.168.1.210.58659: Flags [.], Ack 19132, win 1392, длина 0

Обратите внимание, как трафик, предназначенный для США, отправляется на сервер Linode, а не на сравнения. Linode — очень большая серверная компания, и совсем нередко можно увидеть трафик, предназначенный для сервера Linode. Psiphon далее запутывает этот трафик, используя туннель SSH, чтобы скрыть любые следы VPN. Кроме того, обратный DNS (rDNS) для сервера Psiphon в Linode не выдает его связь с Psiphon; rDNS просто показывает, что Linode владеет IP, который ожидается. Подробнее о rDNS в разделе обфускации далее в этой статье..

Несоответствия в операционной системе и данных отпечатков пакетов

Хотя сеть TCP не зависит от операционной системы, разные операционные системы создают пакеты с разными значениями. Например, значение времени жизни пакета по умолчанию (TTL) варьируется в пакетах, созданных в разных системах. В большинстве систем Windows пакет TTL по умолчанию устанавливается равным 128, тогда как в большинстве систем Linux он устанавливается равным 64. Поскольку TTL является видимой частью захваченного пакета, можно определить, какая ОС, скорее всего, создала этот пакет. Существуют также другие контрольные признаки в построении пакета, такие как длина и максимальный размер сегмента (MSS), которые также варьируются от операционной системы к операционной системе..

Фрагмент ниже является частью пакета, сгенерированного из системы Windows. Обратите внимание ттл 127 значение в последней строке установлено равным 127. Это потому, что TTL выражается в количестве «прыжков». Каждый раз, когда пакет проходит через такое устройство, как маршрутизатор, его TTL уменьшается на единицу. В этом случае TTL начинался с 128, но с тех пор, как я перехватил его на маршрутизаторе — после одного прыжка — сейчас 127. Однако я все еще могу сказать, что он никогда не был 64, так что, скорее всего, это пакет, созданный в системе Windows..

08: 08: 51.657495 IP (tos 0x0, ttl 64, id 32150, смещение 0, флаги [DF], прото UDP (17), длина 177)
Google-общественность DNS-a.google.com.domain > 192.168.2.139.59414: 40501 3/0/0 cdn-3.convertexperiment.com. CNAME cdn-3.convertexperiment.com.edgekey.net., Cdn-3.convertexperiment.com.edgekey.net. CNAME e5289.g.akamaiedge.net., E5289.g.akamaiedge.net. A 104,94,35,212 (149)
08: 08: 51.659278 IP (tos 0x0, ttl 127, id 3890, смещение 0, флаги [DF], протокол TCP (6), длина 52)

Пакет, полученный с компьютера Linux, имеет TTL 63 после первого перехода. Это связано с тем, что большинство компьютеров Linux устанавливают начальное значение TTL пакета равным 64..

08: 15: 55.913493 IP (tos 0x0, ttl 63, id 41443, смещение 0, флаги [DF], прото UDP (17), длина 56)
192.168.2.139.48635 > resolver1.ihgip.net.domain: 47200+ A? google.com. (28)

Но что с того? Почему может быть важно знать, какая операционная система создала пакет?

Если наблюдатель обладает специальными знаниями о цели, это может иметь большое значение. Если известно, что цель использует Windows — возможно, как член крупной организации, которая повсеместно использует Windows — но пакеты, захваченные из этой цели, показывают, что они, вероятно, были созданы на компьютере с Linux, это является хорошим показателем того, что VPN или прокси-сервер некоторых вид используется. Стоит отметить, что практически все VPN-серверы работают на Linux или Unix-подобных серверах.

Можно настроить параметры пакета на большинстве систем, но мало кто подходит к этой длине.

Недостаточные методы запутывания от провайдеров VPN

Анализ сети — это больше, чем просто сбор пакетов. Вспомогательные процессы, такие как DNS, могут сыграть свою роль. Многие пользователи VPN знают о DNS, потому что отправка DNS-запросов в открытом виде — это один из способов для наблюдателя определить, где вы находитесь или собираетесь посетить. Однако все меньше пользователей знают об обратном DNS (rDNS). Подобно тому, как DNS ассоциирует доменное имя с IP-адресом, rDNS связывает IP-адрес с именем хоста, а имя хоста обычно идентифицирует владельца IP. Кроме того, большинство программных библиотек и операционных систем поставляются с некоторыми версиями стандартных функций gethostnameby * (), которые расширяют возможности системы связывать IP-адреса и имена хостов..

Обратный DNS не так критичен, как «нормальный» DNS, потому что rDNS не играет никакой роли в маршрутизации трафика. Скорее, он используется в первую очередь как средство для определения права собственности на ИС. Только владелец IP-адреса может связать запись rDNS с ней. Таким образом, проверка записи IP-адреса в rDNS дает разумную уверенность в том, кто владеет им, или, по крайней мере, кто, по мнению владельца, владеет им. Обратите внимание, что rDNS не требуется, и многие IP-адреса вообще не имеют записей rDNS..

Давайте рассмотрим пример домена facebook.com. Запись DNS A, предоставленная стандартным запросом DNS, показывает этот IP-адрес:

$ dig + short facebook.com
31.13.67.35

Теперь давайте используем обратный DNS-запрос или функцию gethostnamebyaddr (), чтобы увидеть, кому принадлежит этот IP:

$ host -n 31.13.67.35
35.67.13.31.in-addr.arpa указатель доменного имени edge-star-mini-shv-01-mia3.facebook.com

Из этого видно, что Facebook действительно владеет этим IP-адресом. Однако большинство сайтов не имеют своих собственных IP-адресов; они сданы в аренду и принадлежат произвольным организациям или, возможно, принадлежат менее очевидным организациям. Amazon является примером крупного компьютерного провайдера, который используется многими компаниями. Запрос rDNS для IP-адреса многих интернет-сервисов просто показывает, что Amazon владеет IP-адресом, и, следовательно, эта информация мало используется для определения того, кто управляет IP. Другой пример — Google. Google немного более тонок в своих записях rDNS, но все же сохраняет информацию о владельце. Вот как выглядит обратный DNS для Google IP:

$ dig + short google.com
216.58.207.46

$ host -n 216.58.207.46
46.207.58.216.in-addr.arpa указатель доменного имени fra16s24-in-f14.1e100.net.

Google принадлежит домен 1e100.net, поэтому мы видим, что этот IP-адрес действительно принадлежит Google.

В мире VPN можно использовать средства разрешения адресов, чтобы определить, относится ли IP, для которого предназначен ваш трафик, к VPN. Например, команда tcpdump по умолчанию на маршрутизаторе OpenWRT пытается разрешить IP-адреса, которые он видит в пакетах TCP. По-видимому, для этого в первую очередь используется gethostbyaddress (), и поэтому иногда можно увидеть, куда направляются пакеты. Захват tcpdump по умолчанию сеанса IPVanish иллюстрирует это:

08: 23: 14.485768 IP 216-151-184-30.ipvanish.com.3074 > 192.168.1.210.51061: UDP, длина 1441
08: 23: 14.485847 IP 216-151-184-30.ipvanish.com.3074 > 192.168.1.210.51061: UDP, длина 1441
08: 23: 14.486144 IP 216-151-184-30.ipvanish.com.3074 > 192.168.1.210.51061: UDP, длина 1441
08: 23: 14.486186 IP 216-151-184-30.ipvanish.com.3074 > 192.168.1.210.51061: UDP, длина 385

Клиент IPVanish для Windows предоставляет три конфигурации: стандартное соединение OpenVPN, соединение OpenVPN с использованием HTTPS и обфусцированное соединение.

Вышеуказанные пакеты были перехвачены во время сеанса с использованием скрытой настройки соединения OpenVPN, однако WireShark все еще может предоставить информацию о назначении.

В итоге

При определении использования VPN «серебряных пуль» очень мало. Обычно требуется ряд методов или наблюдений для составления достаточного количества индикаторов, которые указывают на использование VPN, и даже в этом случае может быть трудно быть уверенным на 100%. Компании, которые заинтересованы в запрете использования VPN, таких как Netflix и другие потоковые сервисы, имеют постоянные команды, посвященные именно этой проблеме. В других случаях многие страны Восточной Европы и Ближнего Востока) запрещают использование VPN и имеют аналогичные группы для поиска пользователей VPN.

Как проверить, установлен ли VPN на компьютер

Второй тип запускается как приложение. Общедоступные VPN и некоторые корпоративные VPN работают таким образом. Все они, как правило, помещают значок в строке меню, чтобы можно было легко отключить устройство. Ищите это.

Ваша проблема, скорее всего, брандмауэр на компьютере 2. Перейдите на панель настроек «Безопасность и конфиденциальность» в «Системных настройках», нажмите «Брандмауэр», нажмите на замок в левом нижнем углу и введите свой пароль, чтобы разрешить изменения.

Теперь нажмите на «Параметры брандмауэра». Вы, вероятно, найдете «скрытый режим» включенным. Отмените выбор и нажмите «ОК».

Как правильно создать и настроить VPN-подключение на Windows 7: несколько методов и советы по управлению соединением

Технология частной сети VPN даёт шанс пользователям скачивать файлы с ресурсов, недоступных в стране; скрывать свой адрес IP и «сёрфить» в сети как анонимное лицо; защищать свои данные от кражи за счёт шифрования. Чтобы приступить к использованию такой сети, сначала нужно создать подключение. Как это сделать на Windows 7 — в системном окне или в сторонней утилите?

Понятное руководство по созданию и настройке VPN в «семёрке»: несколько способов

Встроенное средство «Виндовс» подразумевает ручную настройку сети — ввод адреса сервера VPN в мастере создания, а также логина и пароля. Эти данные вы можете получить у своего провайдера (если он предоставляет такую услугу), а также на специальных сайтах, которые предлагают информацию по VPN — безвозмездно или за определённую плату. Пример бесплатного — Netherlands Free VPN.

Отыщите в сети данные какого-либо VPN-сервера

Сторонняя утилита с услугой VPN настраивает всё сама автоматически — ей гораздо удобнее пользоваться. В интерфейсе есть специальная кнопка, которая быстро включает или отключает сервис. Обычно даже в бесплатных приложениях можно в пару кликов сменить сервер VPN и страну.

При VPN ваш ПК подключается к серверу в интернете не напрямую, а через посредника

Используем вшитые средства «Виндовс»

Когда отыщите данные для создания VPN-подключения, сделайте следующее:

Разверните «Панель управления» — кликните по пункту в правом списке в «Пуске».

В «Виндовс» 7 «Панель управления» находится в меню «Пуск» справа

Панель запускается через окно «Выполнить»

На панели щёлкаем по ссылке «Центр управления сетями и общим доступом»

Перейдите по ссылке «Создание и настройка нового подключения»

Выберите подключение к рабочему столу

Выберите своё текущее подключение в окне

Дайте системе знать, что вы хотите настроить своё подключение потом

Введите адрес VPN-сервера

Вы можете выполнить только установку сейчас, а подключение к сети оставить на потом

Нажмите на «Создать» в правом нижнем углу

Мастер сообщит вам об успешном создании соединения

Перейдите по ссылке «Изменение параметров адаптера»

Зайдите в свойства подключения

В разделе «Безопасность» установите туннельный протокол точка-точка

Отключите пункты для клиента сетей «Майкрософт» и службы доступа к файлам

Деактивируйте ввод домена для входа

Уберите все отметки в окошке

Сохраните все изменения

Видео: как создать соединение VPN в Windows без дополнительного софта

Создаём точку через «Командную строку»

Если вы уже уверенный юзер ПК, используйте консоль, чтобы создать подключение:

Открываем консоль «Командная строка» от имени администратора через меню «Пуск».

Откройте консоль с правами администратора

Выполните команду cmd в окне

Скачиваем и ставим стороннюю программу

Бесплатный и при этом качественный сервис VPN — утилита Windscribe от одноимённого разработчика. Здесь предоставляется 2 ГБ трафика, но можно увеличить его до 10 ГБ, если просто зарегистрировать в сервисе свою электронную почту. Безлимитное использование трафика доступно уже только за определённую плату.

Откуда скачать, как установить и использовать утилиту, расскажем:

Переходим на официальный ресурс Windscribe. Жмём на вторую зелёную кнопку Windows.

Скачайте инсталлятор с официального сайта

Выполните экспресс-установку программы

Подождите — инсталлятору нужно некоторое время, чтобы поставить утилиту на ПК

Закройте окно и откройте программу

Кликните по «Нет», если у вас нет учётной записи

Введите данные: придуманный логин, пароль и действующую электронную почту

Нажмите на зелёную кнопку внизу анкеты

Подтвердите свою почту, чтобы получить дополнительные 8 ГБ трафика

Войдите в свою учётную запись

Нажмите на кнопку справа

Если на кнопке засветилось слово ON, значит, VPN включился

Откройте выпадающее меню для локаций

Выберите нужную страну в списке

Кликните по необходимому населённому пункту

Локация тут же поменяется

Советы по работе с VPN

Вы можете управлять подключением к сети VPN самостоятельно (активировать или выключать её в системном окне) либо настроить автосоединение.

Как вручную подключиться к VPN

Самостоятельно контролировать активность сети можно следующим образом:

Переходим в то же системное окно «Сетевые подключения» через центр. Выбираем ПКМ плитку с VPN и жмём на «Подключить».

Кликните по «Подключить» в контекстном меню

Введите все данные для авторизации и нажмите на «Подключение»

Выберите общественную сеть в окне

Создайте ярлык подключения на «Рабочем столе»

Кликните по «Да», чтобы поместить ярлык сети на стол

Ярлык с названием вашего подключения появился на «Рабочем столе»

Как настроить автоподключение при загрузке Windows 7

Если вы хотите автоматизировать вход в сеть VPN, чтобы не выполнять лишних действий при загрузке «операционки», сделайте следующее:

Жмём на «Вин» и «К» для запуска окошка для выполнения команд — вставляем и запускаем код taskschd.msc, чтобы открылся «Планировщик заданий».

Выполните команду taskschd.msc

Щёлкните по «Создать простую задачу»

Введите имя задачи и её описание для неё

Выберите запуск задачи «При входе в Windows»

Во вкладке «Действие» выберите запуск программы

В «Проводнике» выберите исполняемый файл rasdial.exe

В списке активных задач должна появиться ваша

Автозапуск через «Редактор реестра»

В реестр помещена специальная ветка — в списке этого раздела находятся утилиты, которые «Виндовс» автоматически открывает при полной загрузке:

Сперва переименуйте название своего подключения VPN — дайте ему английское имя. Выберите его в «Сетевых подключениях» правой клавишей мышки и кликните по опции.

Переименуйте своё подключение через контекстное меню

Дайте английское название подключению

Вставьте regedit и нажмите на Enter

В третьей ветке откройте Software

Конечной папкой должен быть каталог Run

Выберите в меню «Строковый параметр»

Назовите параметр vpnConnect

Поставьте значение для записи с параметрами входа в сеть

Как отключить или удалить VPN в Windows 7

Если вам не нужно больше находиться в сети через VPN (временно или совсем), деактивируйте и вовсе удалите подключение:

1. В перечне сетевых подключений кликните ПКМ по сети — выделите «Удалить».
2. Подтвердите действие в дополнительном окошке.

Согласитесь на удаление в окошке

Кликните по первому пункту, чтобы отключить самому сеть VPN

Деактивировать сеть можно на панели со списком подключений

Таблица: основные ошибки VPN-подключения и способы их устранения в Windows 7

1. Отключить «Брандмауэр» и антивирус на время, чтобы проверить, не блокируют ли они подключение.
2. Обновить версию используемого браузера или использовать другой.
3. Удалить всё то, что обозреватель записывает на диск: настройки, сертификаты, сохранённые файлы и прочее.

1. Перезагрузить компьютер и проверить, работает ли локальная сеть. Если это не решит проблему, то позвонить в службу техпомощи.
2. Закрыть некоторые программы, чтобы увеличить производительность системы.

1. Проверить настройки брандмауэра.
2. В крайнем случае отключить его на время использования VPN.

1. Проверить, работает ли «Подключение по локальной сети».
2. Переустановить драйверы сетевой картой и проверить на повреждения сетевой кабель.

1. Возможно, логин и пароль были украдены злоумышленниками. Используйте другой север.
2. «Подвисла» сессия. Через несколько минут ещё раз попытайтесь подключиться.

1. Некорректно настроен встроенный «Брандмауэр». Проверить его параметры.
2. Изменены атрибуты доступа (международный телефонный номер вместо адреса VPN-сервера).

1. Проверить свойства компонента «Протокол интернета версии 4 (TCP/IPv4)»: адрес IP, маска подсети, основной шлюз. Если не знаете, какие данные нужны, поставьте отметки напротив пунктов об автоматическом получении данных.
2. Включите сетевой адаптер в «Диспетчере устройств». Если не помогает, удалите устройство (оставьте драйверы) и обновите конфигурацию.
3. Проверьте адрес сервера VPN — возможно, вы его неправильно указали. Если вы его брали у своего провайдера, обратитесь в техслужбу или посмотрите адрес на официальном сайте оператора.
4. Проверьте свой баланс — если там минус, пополните счёт.

Фотогалерея: коды ошибок при подключении к VPN

Ошибка с текстом 400 Bad Request появляется при попытке открыть какой-либо сайт в браузере Ошибка с кодом 800 возникает из-за сбоя использованных VPN-туннелей В тексте ошибки 738 указывается, что серверу не удалось назначить адрес В ошибке 789 сообщается, что произошёл сбой на уровне безопасности во время согласований с удалённым компьютером

Создать соединение VPN несложно: если вы совсем новичок, используйте специальные утилиты, а если вы более продвинутый пользователь — выберите встроенные средства Windows. В последнем случае вы сможете настроить автоподключение к сети через планировщик либо вынести подключение ярлыком на «Рабочий стол», чтобы иметь быстрый доступ к окну для входа.