Какая реализация технологии VPN лучше?
В настоящее время существует множеством вариантов реализаций технологии VPN, с определенными преимуществами и недостатками. Мы поможем вам в них разобраться!
VPN в любом случае должен выполнять следующие задачи:
- Маркировка узлов виртуальной сети и корректная адресация пакетов для конкретных клиентов
- Шифрование передаваемой информации должно быть максимально эффективным, экономичным с точки зрения ресурсов и конфиденциальным. Шифрование должно выполняться синхронно поступлению данных.
- Полное исключение передачи данных в открытом виде
- Аутентификация участников при подключении к сети и анализ источников информации. Это обязательное условие защиты сети от несанкционированных данных.
Перечисленные задачи выполняются различными VPN при помощи разных протоколов и инструментов, и конкретный результат от применения выбранных методов является основным критерием оценки вашего варианта реализации Virtual Private Network. Также важным критерием служат показатели безопасности, скорости, стабильности работы виртуальной частной сети, кроссплатформенность и простота конфигурации.
Проанализируем наиболее востребованные технологии реализации VPN:
PPTP (Point-to-Point tunneling protocol)
IPSec (IP Security)
L2TP (Layer 2 Tunneling Protocol) и L2TP+IPSec
SSTP (Secure Socket Tunneling Protocol)
OpenVPN
PPTP (Point-to-Point tunneling protocol)
PPTP(Point-to-Point Tunneling Protocol) был основан и опубликован Microsoft в 1999-м году, но и сегодня является довольно популярным решением. Для соединения в нем используется TCP, для шифрования — протокол MPPE (также создано Microsoft). Аутентификация клиентов чаще всего выполняется механизмом MS-CHAPv2.
Широкое распространение PPTP VPN обусловлено простой настройкой и кроссплатформенностью (поддержка данного VPN по умолчанию включена в большинство современных операционных систем, в том числе мобильные и роутерные). Также преимуществами PPTP является стабильность, сокращенная нагрузка на вычислительные ресурсы и высокая скорость работы.
Недостатком PPTP VPN является низкая безопасность. В настоящее время в нем обнаружено множество уязвимостей, касающихся устройства протокола MMPE (напр., изменение исходящего потока RC4), элемента аутентификации MS-CHAP (в 2012 году был выпущен онлайн-сервис, подбирающий MS-CHAPv2 ключ за 23 часа). Вторая проблема решается сменой механизма аутентификации с MS-CHAP на PEAP, однако компания Microsoft рекомендует использовать L2TP или SSTP.
IPSec (IP Security)
IPsec (IP Security) — это группа протоколов, предназначенных для обеспечения конфиденциальности передаваемой через IP-сети информации, при помощи аудита подлинности и целостности и шифрования передаваемых данных. IPsec рассчитан на работу в транспортном и туннельном режимах. Транспортный режим предполагает шифрование только данных передаваемого пакета, при сохранении исходного заголовка; в туннельном режиме шифруется и инкапсулируется в поле данных нового IP-пакета вся передаваемая информация. Транспортный режим IPsec применительно к созданию VPN-сетей также применяется совместно с другими реализациями (обычно L2TP), а вот туннельный сам по себе может использоваться в качестве метода создания VPN-туннеля.
Шифрование соединения IPsec реализуется такими средствами:
IKE (Internet Key Exchange Protocol)
ISAKMP (Internet Security Association and Key Management Protocol)
AH (Authentication Header Protocol)
STS (Station-to-Station protocol)
HMAC (Hash Message Authentication Code)
MD5 (Message Digest 5)
3DES (Triple Data Encryption Standart)
AES (Advanced Encryption Standart)
XAUTH (Extended Authentication)
ESP (Encapsulating Security Payload Protocol)
SHA-1 (Security Hash Algorithm)
В полном мере назвать IPsec VPN все-таки нельзя, так как он не создает в системе дополнительный виртуальный сетевой адаптер, а использует стандартный внешний интерфейс. Это не реализация технологии виртуальных частных сетей, а средство защиты от подмены передаваемых IP-пакетов. Развертывание же виртуальных туннелей – уже второстепенное свойство.
Поддержка IPsec доступна на всех современных операционных системах (серверных, настольных, мобильных) а также на многих роутерах. Настройка VPN на роутерах не требует дополнительных действий на клиентах, находящихся за этими роутерами.
Все эти преимущества делают IPsec одним из лучших вариантов для применения в сетях VPN.
Однако, у IPsec есть и недостатки. Работа в транспортном режиме IPsec может сопровождаться атакам, направленным на протокол ISAKMP. А при работе IPsec без заголовков AH атакующий может выполнить инъекцию собственных данных в передаваемые пакеты. Возможны атаки, при которых подменяется маршрут передачи пакетов (характерно для транспортного режима IPSec). Также известен новый эксплойт, позволяющий расшифровать IPsec-трафик посредством уязвимости в IKE.
L2TP (Layer 2 Tunneling Protocol) и L2TP+IPSec
L2TP(Layer 2 Tunneling Protocol) представляет собой протокол туннелирования для виртуальных частных сетей. Это симбиоз протокола L2F (Layer 2 Forwarding) производства Cisco и PPTP (см.выше). Предназначен для создания VPN-сети с разграничением прав доступа, однако не шифрует трафик. Этот протокол обеспечивает конфиденциальность и целостность L2TP-пакетов внутри туннеля, одновременно требуя обеспечения шифрования и аутентификации на пакетном уровне для всего проходящего трафика. Для этого подходит IPsec.
Совместное использование L2TP/IPsec востребовано в современных ОС, при этом настройка его аналогична PPTP. Усложнить конфигурацию может L2TP, а также UDP-порт 500, изредка блокируемый в случае вашего нахождения за NAT. Чтобы предупредить такие проблемы, используйте дополнительную настройку firewall или роутера (переадресацию портов), которая не требуется для решений, использующих стандартный для HTTPS порт TCP 443.
В настоящее время LT2P/IPsec является достаточно безопасным вариантом при таких алгоритмах шифрования, как AES. Однако двойное инкапсулирование данных приводит к замедлению реализаций, использующих SSL (напр., OpenVPN или SSTP).
Стабильность работы L2TP/IPsec – очень высока.
Возможным недостатком LT2P/IPsec является повышенное использование ресурсов CPU для обеспечения двойного инкапсулирования.
SSTP (Secure Socket Tunneling Protocol)
SSTP (Протокол безопасного туннелирования сокетов (Secure Socket Tunneling Protocol) – также разработано Microsoft и опубликовано одновременно с выходом Windows Vista. В качестве SSTP-сервера может использоваться уже не только Windows Server 2008/2012, но и машина под управлением Linux или RouterOS (правда, это не самый функциональный вариант). Поддержка SSL v.3, SSTP делает возможной работу без конфигурации маршрутизатора/межсетевого экрана, а за счет интегрированности в Windows упрощена настройка и стабилизирована работа. Для шифрования применяется стойкий AES (до 256 бит шифрование с сертификатами до 2048-бит).
SSTP – оптимальное решение именно для Windows-сетей по всем критериям.
OpenVPN
OpenVPN – был представлен в 2002 году, однако на сегодняшний день данная open-source реализация VPN набирает все большую популярность. Безопасность разворачиваемых туннелей обеспечивает библиотека OpenSSL , предоставляющая большой выбор открытых инструментов шифрования (Blowfish, AES, Camelia, 3DES, CAST и т.д.). Скорость работы OpenVPN напрямую зависит от выбранного алгоритма, и по сравнению с L2TP/IPsec она быстрей и экономичней.
Преимуществом OpenVPN также является возможность прохождения через NAT и Firewall без их дополнительной конфигурации по стандартному для HTTPS порту TCP 443 за счет SSL/TLS-инкапсуляции. Также возможна и работа по протоколу UDP –установленному в конфигурации по умолчанию. ТCP гарантирует высокую надёжность передачи данных, однако характеризуется большими задержками по сравнению с UDP, гораздо более быстрым за счёт отсутствия подтверждения доставки пакетов.
Сжатие данных в OpenVPN осуществляется инструментом LZO.
Широкие возможности конфигурации, дополнительные возможности безопасности частной сети и поддержка большинством ОС обуславливает растущую популярность OpenVPN. Гибкость OpenVPN в некоторых ситуациях может обернуться более утомительной конфигурацией, по сравнению с другими вариантами, что, впрочем, решается подготовкой преднастроенных установочных клиентских пакетов или использованием OpenVPN Remote Access Server. Так что необходимость установки стороннего ПО есть.
Выводы
Конечно, выбор оптимальной реализации VPN зависит от конкретных задач. Однако общие выводы следующие:
PPTP — стабильный и простой в использовании, однако достаточно уязвимый с точки зрения безопасности. Неплохой выбор при минимальных требованиях к конфиденциальности туннеля, альтернатива IPsec или L2TP+IPsec (которые в тех же условиях предоставляют больше возможностей: кроссплатформенность, порог вхождения в конфигурацию для администратора, более высокий уровень безопасности).
IPsec располагает большим количеством алгоритмов шифрования и аутентификации для VPN, несмотря на то что является стеком протоколов для защиты IP-пакетов при их передаче. IPsec идеален для развертывания VPN, безопасность которых особенно актуальна. Для таких задач IPsec лучше использовать в связке с L2TP. В плане возможностей IPsec – один из лучших вариантов для VPN.
L2TP в связке с IPsec также оптимален и в плане безопасности, и в плане совместимости с популярными ОС. Недостатки: возможная необходимость в дополнительной настройке роутера/firewall на разрешение используемых LT2P/IPsec портов (UDP 1701, UDP 4500, UDP 500), а также двойная инкапсуляция, замедляющая работу туннеля.
Протокол SSTP отличается удобством конфигурации, стабильностью и безопасностью, но привязан только к системам Microsoft. На других ОС SSTP на порядок менее функционален.
OpenVPN по многим параметрам сбалансирован идеально.
Скорость: за счет сжатия LZO и опции работы по протоколу UDP
Стабильность: особенно при работе через TCP
Гибкость конфигурации: доступны дополнительные опции, например, балансировка нагрузки, различные типы аутентификации
Кроссплатформенность: наличие клиентских приложений для большинства современных ОС, в т.ч. мобильных
Безопасность: благодаря работе со всеми инструментами библиотеки openssl
Однако даже первичная конфигурация OpenVPN может оказаться сложнее, по сравнению другими реализациями. Проблему возможно компенсировать за счет: быстрого развертывания сервера виртуальной частной сети из стандартной конфигурации; OpenVPN Remote Access Server для создания VPN «из коробки»; возможности сервера передавать большой список параметров подключения клиентам без их указания в клиентской конфигурации вручную.
Самостоятельная настройка VPN на физическом или виртуальном сервере (VPS/VDS) является наиболее надежным и гибким решением. Отличным вариантом является создание виртуальной частной сети OpenVPN по одном из тарифов нашей компании (Windows, Linux), используя облачный VPS/VDS сервер.
Не нашли ответа на Ваш вопрос? Напишите нам!
sales@cloudlite.ru — вопросы по услугам, оплате, документам и партнерству
Разбираемся в VPN протоколах
В последние месяцы армия пользователей VPN значительно увеличилась. И речь не о любителях обходить блокировки и посещать запрещенные сайты, а о тех, кто использует VPN для безопасной работы (да-да, удаленной работы). Это повод еще раз посмотреть на арсенал доступных протоколов и сравнить их с точки зрения безопасности.

Для начала — немного общих положений о VPN. Сценарии использования VPN могут быть разными, самые популярные их них:
- построение защищенного канала между двумя или более удаленными сегментами сети (например, между офисами в Москве и Нижнем Новгороде);
- подключение удаленного работника к корпоративной сети (теперь об этом знает почти каждый офисный сотрудник);
- виртуальное изменение местоположения с помощью услуг VPN Providers (требует наименьших телодвижений для настройки, однако весь ваш трафик будет проходить через чужой сервер).
Для реализации этих сценариев существуют различные виды VPN протоколов — для связи, для шифрования трафика и другие. И уже на основании подходящего протокола можно «строить» свое решение. Два самых известных и широко используемых протокола — OpenVPN и IPSec, а сравнительно недавно появился WireGuard, вызвавший некоторые разногласия. Есть и другие альтернативы, уже устаревшие, но вполне способные решать определенные задачи.
Преимущество того или иного протокола VPN зависит от ряда факторов и условий использования:
Устройства — разные устройства поддерживают разные протоколы.
Сеть — если определенные сервисы не доступны в вашей локации, некоторые протоколы могут не подойти. Например, есть VPN Providers, которые работают в Китае, тогда как большинство существующих провайдеров заблокированы.
Производительность — некоторые протоколы обладают бОльшей производительностью, особенно на мобильных устройствах. Другие — более удобны для использования в больших сетях.
Модель угроз — некоторые протоколы менее безопасны, чем другие, поэтому и злоумышленники могут воздействовать на них по-разному.
Итак, с общей частью закончили, теперь переходим к подробному описанию и сравнению протоколов.
PPTP
Point-to-Point Tunneling Protocol (PPTP) — один из старейших VPN протоколов, используемых до сих пор, изначально был разработан компанией Microsoft.
PPTP использует два соединения — одно для управления, другое для инкапсуляции данных. Первое работает с использованием TCP, в котором порт сервера 1723. Второе работает с помощью протокола GRE, который является транспортным протоколом (то есть заменой TCP/UDP). Этот факт мешает клиентам, находящимся за NAT, установить подключение с сервером, так как для них установление подключения точка-точка не представляется возможным по умолчанию. Однако, поскольку в протоколе GRE, что использует PPTP (а именно enhanced GRE), есть заголовок Call ID, маршрутизаторы, выполняющие натирование, могут идентифицировать и сопоставить GRE трафик, идущий от клиента локальной сети к внешнему серверу и наоборот. Это дает возможность клиентам за NAT установить подключение point-to-point и пользоваться протоколом GRE. Данная технология называется VPN PassTrough. Она поддерживается большим количеством современного клиентского сетевого оборудования.
PPTP поддерживается нативно на всех версиях Windows и большинстве других операционных систем. Несмотря на относительно высокую скорость, PPTP не слишком надежен: после обрыва соединения он не восстанавливается так же быстро, как, например, OpenVPN.
В настоящее время PPTP по существу устарел и Microsoft советует пользоваться другими VPN решениями. Мы также не советуем выбирать PPTP, если для вас важна безопасность и конфиденциальность.
Конечно, если вы просто используете VPN для разблокировки контента, PPTP имеет место быть, однако, повторимся: есть более безопасные варианты, на которые стоит обратить внимание.
SSTP
Secure Socket Tunneling Protocol (SSTP) — проприетарный продукт от Microsoft. Как и PPTP, SSTP не очень широко используется в индустрии VPN, но, в отличие от PPTP, у него не диагностированы серьезные проблемы с безопасностью.
SSTP отправляет трафик по SSL через TCP-порт 443. Это делает его полезным для использования в ограниченных сетевых ситуациях, например, если вам нужен VPN для Китая. Несмотря на то, что SSTP также доступен и на Linux, RouterOS и SEIL, по большей части он все равно используется Windows-системами.
С точки зрения производительности SSTP работает быстро, стабильно и безопасно. К сожалению, очень немногие VPN провайдеры поддерживают SSTP.
SSTP может выручить, если блокируются другие VPN протоколы, но опять-таки OpenVPN будет лучшим выбором (если он доступен).
IPsec
Internet Protocol Security (IPsec) — это набор протоколов для обеспечения защиты данных, передаваемых по IP-сети. В отличие от SSL, который работает на прикладном уровне, IPsec работает на сетевом уровне и может использоваться нативно со многими операционными системами, что позволяет использовать его без сторонних приложений (в отличие от OpenVPN).
IPsec стал очень популярным протоколом для использования в паре с L2TP или IKEv2, о чем мы поговорим ниже.
IPsec шифрует весь IP-пакет, используя:
- Authentication Header (AH), который ставит цифровую подпись на каждом пакете;
- Encapsulating Security Protocol (ESP), который обеспечивает конфиденциальность, целостность и аутентификацию пакета при передаче.
Обсуждение IPsec было бы неполным без упоминания утечки презентации Агентства Национальной Безопасности США, в которой обсуждаются протоколы IPsec (L2TP и IKE). Трудно прийти к однозначным выводам на основании расплывчатых ссылок в этой презентации, но если модель угроз для вашей системы включает целевое наблюдение со стороны любопытных зарубежных коллег, это повод рассмотреть другие варианты. И все же протоколы IPsec еще считаются безопасными, если они реализованы должным образом.
Теперь мы рассмотрим, как IPsec используется в паре с L2TP и IKEv2.
L2TP/IPsec
Layer 2 Tunneling Protocol (L2TP) был впервые предложен в 1999 году в качестве обновления протоколов L2F (Cisco) и PPTP (Microsoft). Поскольку L2TP сам по себе не обеспечивает шифрование или аутентификацию, часто с ним используется IPsec. L2TP в паре с IPsec поддерживается многими операционными системами, стандартизирован в RFC 3193.
L2TP/IPsec считается безопасным и не имеет серьезных выявленных проблем (гораздо безопаснее, чем PPTP). L2TP/IPsec может использовать шифрование 3DES или AES, хотя, учитывая, что 3DES в настоящее время считается слабым шифром, он используется редко.
У протокола L2TP иногда возникают проблемы из-за использования по умолчанию UDP-порта 500, который, как известно, блокируется некоторыми брандмауэрами.
Протокол L2TP/IPsec позволяет обеспечить высокую безопасность передаваемых данных, прост в настройке и поддерживается всеми современными операционными системами. Однако L2TP/IPsec инкапсулирует передаваемые данные дважды, что делает его менее эффективным и более медленным, чем другие VPN-протоколы.
IKEv2/IPsec
Internet Key Exchange version 2 (IKEv2) является протоколом IPsec, используемым для выполнения взаимной аутентификации, создания и обслуживания Security Associations (SA), стандартизован в RFC 7296. Так же защищен IPsec, как и L2TP, что может говорить об их одинаковом уровне безопасности. Хотя IKEv2 был разработан Microsoft совместно с Cisco, существуют реализации протокола с открытым исходным кодом (например, OpenIKEv2, Openswan и strongSwan).
Благодаря поддержке Mobility and Multi-homing Protocol (MOBIKE) IKEv2 очень устойчив к смене сетей. Это делает IKEv2 отличным выбором для пользователей смартфонов, которые регулярно переключаются между домашним Wi-Fi и мобильным соединением или перемещаются между точками доступа.
IKEv2/IPsec может использовать ряд различных криптографических алгоритмов, включая AES, Blowfish и Camellia, в том числе с 256-битными ключами.
IKEv2 поддерживает Perfect Forward Secrecy.
Во многих случаях IKEv2 быстрее OpenVPN, так как он менее ресурсоемкий. С точки зрения производительности IKEv2 может быть лучшим вариантом для мобильных пользователей, потому как он хорошо переустанавливает соединения. IKEv2 нативно поддерживается на Windows 7+, Mac OS 10.11+, iOS, а также на некоторых Android-устройствах.
OpenVPN
OpenVPN — это универсальный протокол VPN с открытым исходным кодом, разработанный компанией OpenVPN Technologies. На сегодняшний день это, пожалуй, самый популярный протокол VPN. Будучи открытым стандартом, он прошел не одну независимую экспертизу безопасности.
В большинстве ситуаций, когда нужно подключение через VPN, скорее всего подойдет OpenVPN. Он стабилен и предлагает хорошую скорость передачи данных. OpenVPN использует стандартные протоколы TCP и UDP и это позволяет ему стать альтернативой IPsec тогда, когда провайдер блокирует некоторые протоколы VPN.
Для работы OpenVPN нужно специальное клиентское программное обеспечение, а не то, которое работает из коробки. Большинство VPN-сервисов создают свои приложения для работы с OpenVPN, которые можно использовать в разных операционных системах и устройствах. Протокол может работать на любом из портов TCP и UPD и может использоваться на всех основных платформах через сторонние клиенты: Windows, Mac OS, Linux, Apple iOS, Android.
Но если он не подходит для вашей ситуации, стоит обратить внимание на альтернативные решения.
WireGuard
Самый новый и неизведанный протокол VPN — WireGuard. Позиционируется разработчиками как замена IPsec и OpenVPN для большинства случаев их использования, будучи при этом более безопасным, более производительным и простым в использовании.

Все IP-пакеты, приходящие на WireGuard интерфейс, инкапсулируются в UDP и безопасно доставляются другим пирам. WireGuard использует современную криптографию:
- Curve25519 для обмена ключами,
- ChaCha20 для шифрования,
- Poly1305 для аутентификации данных,
- SipHash для ключей хеш-таблицы,
- BLAKE2 для хеширования.
Код WireGuard выглядит куда скромнее и проще, чем код OpenVPN, в результате чего его проще исследовать на уязвимости (4 тысячи строк кода против нескольких сотен тысяч). Также многие отмечают, что его гораздо легче развернуть и настроить.
Результаты тестов производительности можно увидеть на официальном сайте (как не сложно догадаться, они хороши). Стоит отметить, что лучшие результаты WireGuard покажет на Linux системах, т.к. там он реализован в виде модуля ядра.
Совсем недавно был представлен WireGuard 1.0.0, который отметил собой поставку компонентов WireGuard в основном составе ядра Linux 5.6. Включенный в состав ядра Linux код прошел дополнительный аудит безопасности, выполненный независимой фирмой, который не выявил каких-либо проблем. Для многих это отличные новости, но сможет ли WireGuard стать достойной заменой IPsec и OpenVPN покажет время и независимые исследования безопасности.
Мы постарались охарактеризовать самые популярные VPN протоколы, надеемся, обзор был для вас полезен. В качестве резюме приводим сравнительную таблицу, где еще раз обозначены важные, на наш взгляд, показатели.
| PPTP | SSTP | L2TP/IPsec | IKEv2/IPsec | OpenVPN | WireGuard | |
|---|---|---|---|---|---|---|
| Компания-разработчик | Microsoft | Microsoft | L2TP — совместная разработка Cisco и Microsoft, IPsec — The Internet Engineering Task Force | IKEv2 — совместная разработка Cisco и Microsoft, IPsec — The Internet Engineering Task Force | OpenVPN Technologies | Jason A. Donenfeld |
| Лицензия | Proprietary | Proprietary | Proprietary | Proprietary, но существуют реализации протокола с открытым исходным кодом | GNU GPL | GNU GPL |
| Развертывание | Windows, macOS, iOS, некоторое время GNU/Linux. Работает “из коробки”, не требуя установки дополнительного ПО | Windows. Работает “из коробки”, не требуя установки дополнительного ПО | Windows,Mac OS X, Linux, iOS, Android. Многие ОС (включая Windows 2000/XP +, Mac OS 10.3+) имеют встроенную поддержку, нет необходимости ставить дополнительное ПО | Windows 7+, macOS 10.11+ и большинство мобильных ОС имеют встроенную поддержку | Windows, Mac OS, GNU/Linux, Apple iOS, Android и маршрутизаторы. Необходима установка специализированного ПО, поддерживающего работу с данным протоколом | Windows, Mac OS, GNU/Linux, Apple iOS, Android. Установить сам WireGuard, а затем настроить по руководству |
| Шифрование | Использует Microsoft Point-to-Point Encryption (MPPE), который реализует RSA RC4 с максимум 128-битными сеансовыми ключами | SSL (шифруются все части, кроме TCP- и SSL-заголовков) | 3DES или AES | Реализует большое количество криптографических алгоритмов, включая AES, Blowfish, Camellia | Использует библиотеку OpenSSL (реализует большинство популярных криптографических стандартов) | Обмен ключами по 1-RTT, Curve25519 для ECDH, RFC7539 для ChaCha20 и Poly1305 для аутентификационного шифрования, и BLAKE2s для хеширования |
| Порты | TCP-порт 1723 | TCP-порт 443 | UDP-порт 500 для первонач. обмена ключами и UDP-порт 1701 для начальной конфигурации L2TP, UDP-порт 5500 для обхода NAT | UDP-порт 500 для первоначального обмена ключами, а UDP-порт 4500 — для обхода NAT | Любой UDP- или TCP-порт | Любой UDP-порт |
| Недостатки безопасности | Обладает серьезными уязвимостями. MSCHAP-v2 уязвим для атаки по словарю, а алгоритм RC4 подвергается атаке Bit-flipping | Серьезных недостатков безопасности не было выявлено | 3DES уязвим для Meet-in-the-middle и Sweet32, но AES не имеет известных уязвимостей. Однако есть мнение, что стандарт IPsec скомпрометирован АНБ США | Не удалось найти информации об имеющихся недостатках безопасности, кроме инцидента с утечкой докладов АНБ касательно IPsec | Серьезных недостатков безопасности не было выявлено | Серьезных недостатков безопасности не было выявлено |
Материал подготовлен совместно с veneramuholovka
Протоколы VPN. Kакой VPN-протокол лучше?

При выборе поставщика VPN-услуг всегда нужно смотреть на то, какие протоколы VPN они предлагают. Сегодня мы обсудим, что такое VPN-протокол, пройдемся по всем популярным типам VPN протоколов и кратко расскажем о том, какие протоколы следует использовать для конкретных различных действий в сети.
Что такое VPN-протокол?
VPN-протоколы представляют собой процессы и наборы инструкций, на которые полагаются VPN-провайдеры, чтобы обеспечить пользователям стабильную и безопасную связь между VPN-клиентом и сервером. По своей сути, VPN-протокол – это смесь протоколов передачи и стандартов шифрования.
Какие существуют типы VPN-протоколов?
На момент написания этой статьи вы, скорее всего, будете встречать VPN-провайдеров, которые работают со следующими VPN-протоколами:
- PPTP
- L2TP/IPsec
- IKEv2/IPSec
- IPSec
- SSTP
- OpenVPN
- SoftEther
- WireGuard ®
Сравнение VPN протоколов
| Протокол | Скорость | Шифрование и безопасный сёрфинг | Стабильность | Стриминг медиаресурсов | Скачивание торрентов | Доступность в приложении CactusVPN | Совместимость |
|---|---|---|---|---|---|---|---|
| OpenVPN TCP | Средне | Хорошо | Хорошо | Средне | Хорошо | Windows, Android, Fire TV и iOS | Большинство ОС и устройств |
| OpenVPN UDP | Быстро | Хорошо | Средне | Хорошо | Хорошо | Windows, Android, Fire TV и iOS | Большинство ОС и устройств |
| Wireguard | Быстро | Хорошо | Хорошо | Хорошо | Хорошо | Windows, macOS, Android, Fire TV и iOS | Windows, macOS, iOS, Android и Linux |
| IKEv2/IPSec | Быстро | Хорошо | Хорошо | Хорошо | Хорошо | Windows, macOS и iOS | Большинство ОС и устройств |
| IPSec | Средне | Хорошо | Хорошо | Хорошо | Хорошо | Нет | Большинство ОС и устройств |
| SSTP | Быстро | Хорошо | Хорошо | Средне | Хорошо | Windows | Windows |
| SoftEther | Быстро | Хорошо | Хорошо | Хорошо | Хорошо | Нет | Windows |
| L2TP/IPSec | Средне | Средне | Хорошо | Хорошо | Средне | Windows | Большинство ОС и устройств |
| PPTP | Быстро | Плохо | Хорошо | Хорошо | Плохо | Windows | Большинство ОС и устройств |
Краткий обзор доступных протоколов VPN
Если вы хотите узнать немного больше о каждом протоколе VPN, которые были упомянуты выше, этот раздел – именно то, что вам нужно. Вот что вам нужно знать (вкратце) обо всех протоколах, предлагаемых поставщиками VPN-услуг:
1. PPTP
PPTP расшифровывается как Point-to-Point Tunneling Protocol (туннельный протокол типа точка-точка), и он был разработан Microsoft еще в 90-х годах. Сейчас он довольно популярен среди тех, кто желает стримить геоблокированный контент. Ввиду его высокой скорости, очевидно. Кроме того, VPN также легко настраивается и уже встроен в большинство платформ.
Почти все VPN-провайдеры предлагают PPTP, хотя вам и следует избегать поставщиков, которые предлагают только PPTP. Почему? Потому что он едва ли способен обеспечить надежную безопасность. На самом деле, довольно разумно предполагать, что PPTP был взломан АНБ. Более того, PPTP без труда блокируется фаерволами.
Если вы хотите узнать больше о протоколе шифрования PPTP, то рекомендуем вам ознакомиться с этой статьей.
2. L2TP/IPSec
Как правило, L2TP/IPSec считают лучшей версией PPTP. Главное его отличие в том, что тут используется двойная инкапсуляция:
- Первая инкапсуляция устанавливает PPP-соединение.
- Вторая инкапсуляция дает фактическое шифрование IPSec.
Хотя двойная инкапсуляция делает L2TP/IPsec более безопасной, она также делает его медленнее, чем PPTP: трафик сначала должен быть преобразован в форму L2TP, и только после этого у вас будет дополнительный уровень шифрования.
В целом протокол довольно безопасен (особенно если он использует шифр AES). Хотя стоит отметить, что L2TP сам по себе не обеспечивает шифрования, поэтому всегда работает в паре с IPSec.
Как и PPTP, L2TP/IPSec настраивается довольно легко, и он уже встроен во многие существующие платформы. И поэтому в интернете вы найдете множество VPN-Сервисов, которые предлагают поддержку этого протокола. Однако большинству поставщиков, как правило, приходится дополнительно настраивать протокол, чтобы его не могли заблокировать NAT-фаерволы (поскольку для установления соединения протокол может использовать только 500 порт UDP).
С другой стороны, настройка гарантирует, что L2TP/IPsec не будет уязвим перед «атакой посредника».
Были утверждения, что АНБ взломала и ослабила этот протокол шифрования, однако никаких доказательств этому найдено не было. Хотя претензии исходят от самого Эдварда Сноудена.
Дополнительные сведения о L2TP/IPsec вы можете узнать в этой статье.
3. IPSec
IPSec – это набор защищенных сетевых протоколов, который используется для шифрования пакетов данных, передаваемых по IP-сети (коммуникационной сети, состоящей из одного или нескольких устройств, использующих интернет-протокол для отправки и приема данных).
IPSec довольно популярен ввиду высокого уровня безопасности (благодаря Authentication Header и механизмам Encapsulating Security Payload), а также тому факту, что он может шифровать трафик без ведома конечного приложения.
Что же касается недостатков, IPSec может быть трудно настраивать, если поставщик VPN-услуг не имеет достаточного опыта работы с ним, то он может быть настроен неправильно. В сфере VPN IPSec часто используется наряду с L2TP и IKEv2. Кроме того, как мы уже упоминали выше, были утверждения – хоть и необоснованные – что АНБ намеренно ослабило этот протокол.
Если вы хотите узнать больше об IPSec, перейдите по этой ссылке.
4. IKEv2
Разработанный Microsoft и Cisco, и базирующийся на IPSec, IKEv2 является относительно быстрым, стабильным и безопасным (если используется шифр, подобный AES). Кроме того, он даже работает по умолчанию на Blackberry. А поскольку он поддерживает MOBIKE, то очень хорошо справляется с изменениями в сети. Что это значит? Ну, например, когда вы переключаетесь с Wi-Fi на мобильный интернет, VPN-соединение остается стабильным на протяжении всего процесса.
Как ни странно, IKEv2 технически не является VPN-протоколом, но в действительности работает именно так, и помогает контролировать обмен ключами IPSec.
Несмотря на недостатки, IKEv2 может быть трудно внедрить на стороне VPN-сервера, поэтому неопытный или неподготовленный поставщик VPN-услуг может допустить ошибки, которые приведут к проблемам с безопасностью или соединением. Кроме того, некоторым пользователям не нравится, что Microsoft участвовала в его создании. Еще следует учитывать, что IKEv2 потенциально может быть заблокирован некоторыми фаерволами.
Хотите узнать больше об IKEv2? Тогда обязательно ознакомьтесь с нашей статьей на эту тему.
5. OpenVPN
Протокол OpenVPN с открытым исходным кодом является одним из самых популярных VPN-протоколов среди пользователей. Он очень безопасен, настраивается и работает на нескольких платформах. Кроме того, OpenVPN трудно блокировать, так как трафик OpenVPN чрезвычайно трудно отличить от трафика HTTPS/SSL.
Ах да, и протокол OpenVPN также может работать на любом порте (включая порт 443 HTTPS) и использовать как UDP, так и TCP-протоколы.
Основным недостатком этого протокола, похоже, является тот факт, что его комбинация с сильными шифрами может замедлить скорость интернета. Тем не менее, эту проблему часто можно решить, если OpenVPN использует протокол UDP, поскольку он гораздо быстрее.
Кроме того, OpenVPN требует стороннего ПО, поскольку оно изначально не интегрировано в операционные системы или различные платформы, и его настройка может создать трудности. К счастью, это не такая большая проблема для обычного пользователя, поскольку для этого можно использовать обычные VPN-клиенты.
Если вы хотите узнать больше о OpenVPN, то ознакомьтесь с этой статьей.
6. SoftEther
По сравнению с большинством шифрования VPN-протоколов (за исключением Wireguard), SoftEther является относительно молодым. Протокол зарождался как простенький проект в Университете Цукубы, но в конечном итоге перерос в крупный проект VPN-программы с открытым исходным кодом и поддержкой нескольких протоколов.
“Погодите, что вы имеете в виду под мультипротокольной VPN-программой?”
Ну, на этом этапе важно сделать одно четкое различие – SoftEther можно рассматривать и как VPN-протокол, и как VPN-сервер:
- VPN-сервер SoftEther поддерживает большое количество VPN-протоколов, таких, как SSTP, OpenVPN, L2TP/IPSec, IPSec и VPN-протокол SoftEther (отсюда и описание “мультипротокол” )
- VPN-протокол SoftEther использует SSL 3.0 для безопасной связки VPN-клиент – сервер. Протокол предлагает различные технические усовершенствования, которые делают его более быстрым и безопасным.
Несмотря на относительно небольшой возраст, SoftEther быстро набрал популярность среди пользователей VPN благодаря своей безопасности (SoftEther использует AES-256), стабильности и удивительной скорости работы. Более того, им можно пользоваться бесплатно, и он работает на нескольких ОС (включая FreeBSD и Solaris). Не говоря уже о том, что это один из немногих VPN-протоколов, работающих с клиентами для Linux.
Кроме того, SoftEther оснащен такими функциями, которых нет в OpenVPN. Среди них функция динамического DNS, поддержка RPC через HTTPS и управление графическим интерфейсом (это лишь несколько примеров).
Сейчас единственными недостатками, которые, возможно, стоит упомянуть, являются тот факт, что SoftEther не может похвастать нативной поддержкой в ОС. При этом, по какой-то причине некоторые VPN-провайдеры не работают с этим протоколом. Кроме того, поскольку это программное решение, поставщик услуг VPN не может по сути предоставить вам прямой доступ к протоколу. Вместо этого вам нужно будет установить SoftEther на устройство и подключиться к серверам VPN-провайдера.
Если вы хотите узнать больше о SoftEther, то мы уже написали об этом подробную статью.
7. SSTP
SSTP расшифровывается как Secure Socket Tunneling Protocol, и он был представлен Microsoft вместе с Windows Vista. Несмотря на это, он работает и на других операционных системах (таких, как Linux и Android). SSTP значительно превосходит PPTP, когда дело доходит до безопасности, поскольку для него можно настроить AES-шифрование.
К тому же, VPN-протокол SSTP часто сравнивают с OpenVPN, так как он использует SSL 3.0. Это позволяет ему обходить цензуру с помощью 443 порта (порт для HTTPS-трафика).
Несмотря на это, SSTP не так популярен, как OpenVPN, потому что принадлежит Microsoft. Как правило, он хорошо работает только на платформах Windows, и компания не предоставляет открытый доступ к исходному коду.
8. Wireguard
WireGuard – это новейшее дополнение (которое было представлено в 2018 году). Несмотря на то, что это был совсем молодой протокол, он быстро обрел популярность. Он пережил множество доработок и тестирований, прошел многочисленные проверки безопасности и теперь готов к реализации.
Протокол может похвастаться самым современным уровнем безопасности, поскольку использует только современные алгоритмы криптографии. При этом он очень прозрачен, так как распространяется с открытым исходным кодом – любой желающий может проверить код. Более того, WireGuard предлагает сверхбыстрые скорости благодаря своей легкой кодовой базе и способности эффективно задействовать все ядра процессора.
Дополнительные сведения о Wireguard можно получить из этой статьи.
Ищете надёжный VPN-Сервис?
Тогда у нас для вас есть отличное предложение. CactusVPN предлагает высококачественные VPN-услуги, среди которых шифрование на военном уровне, круглосуточная поддержку, функция Kill Switch, более 30 высокоскоростных серверов с неограниченной пропускной способностью, а также до шести VPN-протоколов на выбор. Более того, мы не записываем ваши данные, и наш Сервис работает на нескольких платформах.

И если вы захотите попробовать другие способы разблокировки веб-сайтов, мы также предлагаем услугу Smart DNS, которая открывает доступ к более 300 сайтов. Кроме всего прочего, все наши VPN-серверы дополняются прокси-серверами.
Специальное предложение! Получите CactusVPN за 3.5$ в месяц!
И как только вы станете клиентом CactusVPN, у вас будет 30-дневная гарантия возврата денег.
Какой VPN-протокол считается лучшим?
Это довольно сложный вопрос. В основном потому, что то, будет считаться “лучшим VPN-протоколом”, зависит исключительно от того, что вы собираетесь делать в интернете. То, что некоторые люди могут считать лучшим протоколом VPN, в конце концов, может рассматриваться другими как посредственный протокол шифрования.
Итак, чтобы дать вам достойный ответ, мы рассмотрим, какие протоколы VPN лучше всего работают для определенных целей или ситуаций в интернете:
Какой VPN-протокол лучше всего подходит для скачивания торрентов?
Когда дело доходит до торрентов с использованием VPN, вам определенно понадобится стабильный, быстрый и безопасный VPN-протокол. Исходя из этого, вам следует использовать IKEv2 или WireGuard. SoftEther тоже быстро работает, но он не для всех пользователей, поскольку требует первичной настройки, которая некоторым может показаться сложной.
L2TP/IPSec – вариант также хороший, так как это довольно безопасный и быстрый протокол. Но забудьте про PPTP! Хотя он очень быстрый, его уровень шифрования никуда не годится (его умеет взламывать АНБ).
Вы также можете попробовать использовать UDP-протокол с OpenVPN для загрузки торрентов. Хотя мы рекомендуем делать это только в том случае, если вы используете VPN с функцией Kill Switch, поскольку такой метод не может похвастать идеальной стабильностью. Вам ведь не хотелось бы, чтобы ваш торрент-трафик оказался у всех на виду, если VPN-соединение вдруг оборвется.
Мы рекомендуем вот что: WireGuard, IKEv2, OpenVPN UDP или SoftEther (для продвинутых пользователей)
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Мы в CactusVPN не поощряем нарушения авторских прав и пиратство. Однако мы понимаем, что для некоторых людей файлообменники – это единственный способ получить доступ к развлекательному и образовательному контенту, либо к рабочим файлам.
Какой VPN-протокол самый быстрый?
Долгое время PPTP считался оптимальным вариантом, если бы вы искали быстрый протокол VPN. Сейчас это по-прежнему очень быстрый VPN-протокол, который часто используется для потоковой передачи геоблокированного контента. Однако ради скорости приходится жертвовать хорошим шифрованием, из-за чего протокол делает вас практически незащищенными в интернете.
Вот парочка гораздо лучших альтернатив PPTP — IKEv2 и WireGuard. Они оба предлагают очень высокую скорость и мощную защиту. L2TP/IPSec тоже достаточно быстрый, но, как правило, работает медленнее IKEv2 и WireGuard.
Можно рассмотреть и вариант использования SoftEther. По факту, этот VPN-протокол в четыре раза быстрее протокола PPTP, и в тринадцать раз быстрее протокола OpenVPN. Предположительно, такая скорость достигается благодаря тому, что SoftEther был написан с учетом высокоскоростной пропускной способности. Он также считается очень безопасным, и доступен на нескольких платформах. Однако сегодня не так много поставщиков VPN-услуг, которые его поддерживают. Более того, вы не можете использовать его внутри VPN-приложения. Вместо этого вам необходимо скачать, установить и настроить отдельный клиент SoftEther.
Конечно, вы всегда можете использовать PPTP, если пожелаете, просто имейте в виду, что тогда вам самостоятельно придется заботиться о защите конфиденциальных данных. То есть не следует использовать этот протокол, если вы собираетесь авторизоваться в электронную почту, в онлайн-банкинг или в аккаунт Netflix. Желательно использовать его только для потребления контента стриминговых сервисов.
Мы рекомендуем: WireGuard, IKEv2 и SoftEther (хотя эта опция не очень подходит неопытным пользователям)
Какой VPN-протокол самый безопасный?
В первую очередь, мы бы обратили внимание на OpenVPN. Он предлагает 256-битное шифрование, не требует работы IP-стека и ядра, поскольку работает на стороне пользователя (обеспечивая лучшую защиту внутренней памяти), а также использует пользовательский протокол безопасности на основе TLS и SSL.
Вам лучше использовать VPN-поставщика, который также предлагает функцию Kill Switch (это относится к любому VPN-протоколу), однако OpenVPN на TCP работает довольно стабильно, поэтому проблем быть не должно.
Также достойным вариантом является SoftEther. Безопасность, которой вы можете наслаждаться, в значительной степени соответствует уровню защиты, который вы получаете при использовании OpenVPN. Один из недостатков SoftEther, с точки зрения безопасности в интернет, сводится к тому, готовы ли вы использовать более молодой VPN-протокол вместо старого проверенного OpenVPN.
То же самое касается и WireGuard. Это новейший протокол VPN, но многочисленные проверки уже показали, насколько он безопасен. Кроме того, он использует современные алгоритмы (такие как ChaCha20, Blake2s и Curve 25519) и заменяет криптографическую гибкость (возможность выбора между шифрованием) на криптоверсии (улучшенное шифрование). Таким образом, он устраняет риски от неправильных настроек, которые могут ослабить шифрование.
IKEv2 также подойдет, если вы используете устройства BlackBerry, – так вы получите двойное шифрование. Хорошим вариантом будет и L2TP/IPSec, который считается достаточно безопасным. Однако мы бы не рекомендовали его, если сравнивать с некоторыми VPN-протоколами для этого конкретного назначения.
Что же касается Wireguard: это действительно безопасный протокол, но он все еще находится в экспериментальной фазе. Так что, на данный момент сложно что-то говорить о его роли в онлайн-безопасности.
Кроме того, SSTP тоже подойдет. Это зависит только от того, беспокоит ли вас тот факт, что этот протокол не распространяется с открытым исходным кодом и что он полностью контролируется компанией Microsoft, которая ранее предоставляла АНБ доступ к зашифрованным сообщениям.
Наши рекомендации: OpenVPN, WireGuard, IKEv2 (на смартфонах) или SoftEther
Какой VPN-протокол считается самым стабильным?
Когда дело доходит до стабильности на мобильных устройствах, можно обратить внимание на IKEv2, так как он на самом деле способен справляться с переключениями сети. Однако сетевые администраторы могут с легкостью заблокировать его, поскольку он использует лишь несколько UDP-портов.
WireGuard также работает довольно хорошо, но использует только UDP-порты, поэтому его также можно заблокировать. С другой стороны, он использует множество портов, поэтому маловероятно, что сетевой администратор заблокирует их все.
OpenVPN (по TCP), SoftEther и SSTP дают отличные показатели с точки зрения стабильности, так как позволяют использовать порт 443 (порт HTTPS).
Более того, SoftEther вообще разрабатывался с акцентом на то, что он будет работать в режиме 24/7 сразу после запуска. Его код был написан таким образом, чтобы предотвратить как утечки памяти, так и различные сбои. Даже если что-то пойдет не так, SoftEther запрограммирован на автоматический перезапуск.
Другие стабильные VPN-протоколы включают OpenVPN (по TCP), SSTP и L2TP/IPSec. PPTP также довольно стабилен, но имейте в виду, что его с легкостью можно заблокировать посредством фаерволов.
PPTP и L2TP/IPSec тоже довольно стабильны, но их также легко заблокировать – достаточно просто заблокировать порты, которые используют эти протоколы, или отключить VPN Passthrough для этих протоколов. В таких случаях VPN-приложение просто не сможет связаться с VPN-сервером.
Наша рекомендация: IKEv2, SoftEther (требуется дополнительная настройка) или OpenVPN через TCP
Какой самый VPN-протокол совместим с наибольшим количеством платформ?
PPTP, по-видимому, является наиболее распространенным VPN-протоколом с точки зрения нативной поддержки. Он доступен для множества операционных системах и устройствах. Однако стоит отметить, что из-за низкого уровня безопасности PPTP может больше не поддерживаться на новых устройствах и операционных системах. Например, этот VPN-протокол больше не поддерживается в macOS Sierra (и более поздних версиях).
Хорошей альтернативой PPTP будет L2TP/IPsec, который также нативно доступен на многочисленных платформах. IKEv2 – тоже хороший вариант, тем более он работает на устройствах BlackBerry.
OpenVPN не имеет нативной поддержки в ОС и на устройствах, однако его легко использовать через стороннее ПО (VPN-клиенты). WireGuard работает и на самых популярных ОС (Windows, macOS, Linux, iOS, Android).
Мы рекомендуем: L2TP/IPsec, OpenVPN, IKEv2 и WireGuard
Какой VPN-протокол проще всего настроить?
На данный момент самым простым VPN-протоколом с точки зрения настройки кажется PPTP. Просто потому, что он по умолчанию встроен в очень многие платформы. По этой же причине L2TP/IPSec и IKEv2 также довольно просто настраивать.
Со SSTP вы тоже разберетесь без труда, но пока он доступен только на платформах Windows. Простую настройку предлагает и WireGuard, особенно если делать это на Linux. Большинство обзоров утверждают, что им даже легче управлять, чем OpenVPN.
SoftEther не так уж сложно настраивать по сравнению с OpenVPN, так как он поставляется с удобным мастером установки и оснащен графическим интерфейсом. Однако, в отличие от упомянутых выше VPN-протоколов, тут вам все равно придется покопаться в настройках.
Конечно, если вы используете стороннее ПО VPN, то вам будет просто работать с любым VPN-протоколом, если поставщик VPN-услуг поддерживает его, и если он работает на вашем устройстве или ОС. Единственным исключением здесь будет SoftEther, поскольку вам нужно установить для него отдельное ПО на устройство и подключиться к VPN-серверам вручную.
Тут мы рекомендуем: PPTP, L2TP/IPsec, WireGuard или IKEv2
Какой протокол VPN требует меньше всего ресурсов?
Без сомнения, одним из наименее ресурсоемких вариантов будет PPTP. Просто потому, что он предлагает очень слабое шифрование, – для этого почти не требуется мощности процессора.
Однако намного чаще выбирают SSTP, так как он потребляет меньше ресурсов и при этом обеспечивает достойную безопасность. Во многом благодаря тому, что он глубоко интегрирован в платформы Windows. Если вы используете другую операционную систему или устройство, то вместо PPTP можете попробовать OpenVPN, – этот протокол умеет оптимизировать использование вычислительной мощности.
Но мы считаем, что идеальным выбором для любой платформы будет WireGuard, так как он оптимизирован для эффективного использования ядер процессора. Кроме того, у него очень маленькая кодовая база (порядком 4000 строк), поэтому он не такой громоздкий.
Наша рекомендация: WireGuard
“Итак, какой же VPN-протокол мне лучше использовать?”
Трудно сказать – все действительно зависит от того, что именно вы планируете делать в интернете. Вот краткий список, в котором вы наглядно увидите, для чего лучше использовать каждый VPN-протокол. Надеемся, это поможет вам принять решение:
- PPTP лучше всего использовать, когда вам просто нужен быстрый доступ к геоблокированному контенту. В идеале вы не должны использовать его, если собираетесь авторизоваться в учетные записи с конфиденциальной информацией (например, если в кабинете указаны ваши банковские реквизиты).
- L2TP/IPSec – это по сути улучшенная версия PPTP, поэтому вы можете использовать этот протокол, когда вам нужно скачивать торренты и смотреть геоблокированный контент, либо просто безопасно серфить в интернете. При этом, учитывайте, что скорость передачи данных может незначительно упасть.
- IKEv2 – отличный вариант, если вы часто используете мобильное устройство (особенно если это BlackBerry), так как ваше VPN-соединение будет стабильным при переключении с Wi-Fi на мобильную сеть. Он также идеально подходит, если вы хотите и обезопасить свой трафик, и наслаждаться приличной скоростью.
- SSTP – хороший вариант, если вы пользуетесь Windows и хотите наслаждаться достойной безопасностью в сети, и не жертвовать скоростью из-за “прожорливости” протокола шифрования.
- OpenVPN – определенно ваш вариант, если вам нужно безопасное и стабильное соединение с интернетом. Если вам нужны более высокие скорости, то можете использовать OpenVPN через UDP.
- SoftEther – отличная альтернатива OpenVPN, и этот вариант подойдет вам, если вас не смущает относительно небольшой возраст протокола, и вы хотите получить безопасное, стабильное и быстрое соединение.
- WireGuard идеально подходит, если вам нужно защитить свои данные современными шифрами, а также если вы хотите наслаждаться действительно высокими скоростями на большинстве платформ (Windows, macOS, Linux, iOS, Android).
В завершение
VPN-протокол – это набор правил, которые используются для создания соединения между VPN-клиентом и VPN-сервером. Вот небольшой список VPN-протоколов, которые вы, скорее всего, встретите у многих поставщиков VPN-услуг:
- PPTP
- SSTP
- L2TP/IPsec
- IKEv2/IPSec
- OpenVPN
- SoftEther
- WireGuard
Как правило, OpenVPN, WireGuard, IKEv2 и SoftEther можно считать идеальными VPN-протоколами, если вы хотите насладиться безопасным времяпрепровождением в сети. SSTP и L2TP/IPSec – хорошие альтернативы, если вы не удовлетворены вышеупомянутыми вариантами.
Однако, если вы хотите и безопасности, и скорости, то выбирайте что-нибудь из IKEv2, WireGuard и SoftEther. L2TP/IPSec тоже безопасен, однако при равном с IKEv2 уровнем безопасности, он работает медленнее. Таким образом, нет причин не использовать IKEv2, если вы можете это сделать.
PPTP следует использовать только тогда, когда вам нужна высокая скорость соединения и вы уверены, что ваша конфиденциальность не пострадает (так как у этого протокола слабое шифрование).
В идеале вам следует выбирать VPN-провайдера, который предлагает выбор между несколькими VPN-протоколами.
Что такое VPN-протоколы и какие они бывают
В тексте рассказываем, что такое VPN-протоколы, какие решения доступны на рынке и что лучше использовать.

Что такое VPN
VPN (Virtual Private Network) — это один из способов подключения к сети, когда между устройством и удаленным хостом создается защищенное соединение.
По мере того, как компании переносят свои данные и приложения в облако, потребность в виртуальной частной сети (VPN) становится скорее необходимостью, чем опцией. В том числе из-за того, что мошенники стали целенаправленно атаковать российские компании. А последние — использовать разные способы для повышения безопасности своей инфраструктуры.
Сценарии использования VPN
- Удаленный доступ. Сотрудники компаний используют VPN для удаленной работы с корпоративными ресурсами.
- Транспортные тоннели. Между разными сегментами сети можно построить канал для передачи данных. Например, соединить офис в Москве и Санкт-Петербурге.
- Доступ к запрещенным ресурсам и анонимизация. Среди обычных пользователей это популярный сценарий. VPN позволяет получить доступ к сайту в обход региональных или государственных блокировок.
Что такое VPN-протокол
Протоколы VPN — это специальные правила, определяющие порядок работы виртуальной частной сети. Они отвечают за процессы аутентификации устройств, способы передачи данных, безопасность используемых алгоритмов и приватность соединения.
VPN-протокол состоит из туннелирования и шифрования. Протокол туннелирования создает соединение между вашим устройством и VPN-сервером, а протокол шифрования — шифрует данные, чтобы никто не смог перехватить или подделать их.
Как работают VPN-протоколы
- Пользователь выбирает сервер в сервисе VPN и подключается к нему со своего устройства.
- VPN-сервис создает зашифрованный туннель между клиентом и сервером. В нем шифрует передаваемые данные с помощью протокола.
- VPN-сервер получает и расшифровывает трафик. Для этого он использует специальные ключи шифрования.
- VPN-сервер заменяет информацию о пользователе на свою и перенаправляет на целевой сайт клиентский запрос, с которым нужно установить соединение. Таким образом, обеспечивает безопасность и обход блокировок.
- VPN-сервер получает ответ, шифрует и перенаправляет его пользователю. Для расшифровки данных VPN-клиент и сервер используют специальные ключи шифрования.
Виды VPN-протоколов
Даже у самых надежных VPN-протоколов есть свои плюсы и минусы — невозможно точно остановиться на одном варианте. Некоторые из них быстрее, другие более безопасны, а третьи проще в настройке. Поэтому перед выбором VPN-протокола важно определить свои личные потребности.
PPTP
PPTP (Point-to-Point Tunneling Protocol) — один из первых VPN-протоколов. Компания Microsoft разработала его для коммутируемых сетей в Windows 95 и Windows NT. Примитивное шифрование делает его сверхбыстрым, но из-за этого страдает безопасность в интернете. К сожалению, он не дожил до наших дней и в настоящее время считается устаревшим.
PPTP использует протокол MPPE (Microsoft Point-to-Point Encryption) с ключами длиной до 128 бит. Для аутентификации он может использовать либо MS-CHAPv1, либо MS-CHAPv2. Совокупность этих факторов делает его открытым к разным атакам: от перебора до подмены битов.
Низкоуровневое шифрование делает PPTP одним из самых быстрых VPN-протоколов. Шифрование обычно замедляет скорость соединения, но у PPTP он слишком мал, чтобы вызвать значительную разницу.
SSTP
SSTP (Secure Socket Tunneling Protocol) — еще один протокол от Microsoft, который впервые появился в Windows Vista. Его изначально рассматривали как преемника PPTP и L2TP, поэтому SSTP можно найти в более поздних версиях Windows. По уровню безопасности он практически не уступает OpenVPN и способен обходить межсетевые экраны.
SSTP использует SSL-протокол, инкапсулирует пакеты данных по HTTPS и поддерживает шифрование AES-256. Дополнительно может подключаться к TCP-порту 443, что делает его трудноблокируемым протоколом. Сам протокол подвержен TCP meltdown, когда один протокол накладывается поверх другого. Например, более медленное внешнее соединение заставляет верхний уровень ставить в очередь больше повторных передач, чем способен обработать нижний уровень. Это приводит к задержкам и проблемам с передачей данных.
Относительно скорости SSTP работает быстрее других протоколов. Однако он требует большей пропускной способности и мощного процессора.
IPsec
IPsec VPN — это набор протоколов, который защищает соединение между устройствами на уровне IP. Существует два режима работы IPsec: туннельный и транспортный.
Туннельный режим. IPsec VPN шифрует исходный IP-пакет и инкапсулирует его в новый заголовок. Туннель прокладывается между парой шлюзов — например, двумя маршрутизаторами или маршрутизатором и межсетевым экраном. Аутентификация выполняется на обоих концах соединения, путем добавления к пакету заголовка. В транспортном режиме шифруется только полезная нагрузка IP-пакета без начального заголовка.
Туннельный режим обычно безопаснее транспортного, поскольку шифрует не только полезную нагрузку, но и весь IP-пакет.
Транспортный режим. Он отличается от туннельного методом инкапсуляции: шифрует только данные, а заголовок IP оставляет без изменений. Поэтому транспортный режим менее безопасный.
Ядро IPSec базируется на трех протоколах:
- Authentication Header (AH) обеспечивает аутентификацию и поддерживает целостность данных,
- ESP или Encapsulating Security Payload отвечает за шифрование трафика,
- ISAKMP или Internet Security Association and Key Management Protocol отвечает за обмен ключами и аутентификацию конечных хостов.
L2TP/IPsec
L2TP (Layer 2 Tunneling Protocol) появился в 1999 году как преемник PPTP. Для этого Microsoft и Cisco объединили два протокола — PPTP и L2F (Layer 2 Forwarding). Однако L2TP не шифрует данные, поэтому эту функцию выполняет IPSec.
L2TP обеспечивает нулевую защиту, поскольку не может защитить полезную нагрузку данных. IPSec же поддерживает шифр AES-256 и, как правило, считается безопасным. Поэтому L2TP инкапсулирует часть трафика, как обычное PPTP-соединение, а вторую обеспечивает IPSec.
L2TP/IPSec использует только три порта (UDP 500/4500 и ESP IP Protocol 50), поэтому брандмауэры смогут довольно просто его заблокировать. По сравнению с другими протоколами, у L2TP/IPsec средняя скорость передачи данных. Однако эта связка довольно ресурсоемкая, поэтому требует хорошее интернет-соединение и неплохие вычислительные мощности.
IPsec/IKEv2
IKEv2 (Internet Key Exchange) разработан Microsoft и Cisco в качестве преемника IKEv1. Как и предыдущий протокол, IKEv2 использует IPSec для шифрования. Протокол популярен среди мобильных пользователей, поскольку отлично справляется с установкой повторного соединения. Несмотря на то, что его разработала компания Microsoft, есть версия IKEv2 с открытым исходным кодом.
Протокол поддерживает несколько алгоритмов шифрования с 256-разрядными ключами: AES, Camellia, 3DES и ChaCha20. А также функцию MOBIKE, которая позволяет пользователям не терять соединение при переключении сетей, и процесс аутентификации на основе сертификатов. Но у протокола есть недостаток: IKEv2 подвержен атаке «человек посередине» из-за IPSec.
IKEv2 работает через UDP-протокол, что обеспечивает низкую задержку и высокую скорость. Эффективный обмен сообщениями типа «запрос-ответ» также играет важную роль. Кроме того, IKEv2 менее требователен к процессору, чем OpenVPN.
OpenVPN
OpenVPN (Open-Source Virtual Private Network) — золотой стандарт в области VPN-протоколов. У него высокая скорость подключения и совместимость с большинством портов. Работает протокол на всех основных платформах, включая Windows, macOS, Linux, Android и iOS. Также есть большое комьюнити, в котором разрабатывают собственные решения на базе OpenVPN.
С точки зрения безопасности OpenVPN опирается на библиотеку OpenSSL и поддерживает разные алгоритмы шифрования: AES, Blowfish и другие. У него есть несколько портов, поэтому VPN-трафик можно замаскировать под обычный браузер. Таким образом, интернет-провайдеры не могут его заблокировать.
В плане скорости протокол занимает промежуточное место. Он быстрее, чем L2TP/IPSec, но медленнее, чем PPTP и WireGuard. Однако скорость всегда зависит от устройства и параметров конфигурации. К примеру, его можно увеличить за счет функции раздельного туннелирования или уменьшить с помощью обфускации или двойного шифрования.
В чем разница между UDP и TCP?
OpenVPN использует два протокола: TCP и UDP. Мы о них уже рассказывали, а сейчас подробнее разберем, чем они отличаются.
UDP и TCP устроены по-разному. Например, TCP медленнее, чем UPD. При этом он надежнее из-за контроля передачи пакетов, тогда как UDP может их потерять при передаче. Все потому, что вместо повторной передачи пакетов, как у TCP, он отправляет следующий. Если вам нужен VPN для видеосвязи — используйте UDP, если для серфинга сайтов — TCP.

WireGuard
Протокол появился в 2018 году и успел завоевать большую популярность. Он использует шифр ChaCha20, описанный в RFC 7539, и имеет около четырех тысяч строк кода, что значительно упрощает и ускоряет аудит безопасности. Основной минус: он не умеет динамически назначать IP-адреса пользователям, подключенным к серверу. Поэтому статический IP должен храниться на том же сервере.
WireGuard — самый быстрый по сравнению с другими VPN-протоколами, поскольку не использует туннелирование по TCP в принципе. Linux-системы обеспечивают наилучшую работу протокола с помощью интеграции в модуль ядра.
Lightway
Компании ExpressTechnologies разработала протокол LightWay в качестве аналога Wireguard, но с упором на безопасность и высокую скорость. Его используют как сервис ExpressVPN.
При создании протокола разработчики использовали библиотеку wolfSSL — ее часто можно найти в системах умных домов. Сам по себе LightWay неплохой вариант с точки зрения безопасности. Он передает ключи шифрования через алгоритм Диффи-Хеллмана с применением эллиптических кривых (ECDH) и использует динамическую выдачу IP-адресов для приватности пользователей. В протоколе всего две тысячи строк кода, что облегчает специалистам аудит безопасности. А для любителей «покопаться» есть открытый исходный код.
Lightway занимает лидирующие позиции по скорости передачи данных. В большинстве случае — через UDP вместе с DTLS-протоколом для безопасной передачи датаграмм. При этом можно его использовать в связке TCP и TLS.
SoftEther
SoftEther — многопротокольная VPN-система с открытым исходным кодом. Она поддерживает разные протоколы: SSL, L2TP/IPsec, OpenVPN, MSST и другие. Среди основных функций SoftEther VPN — обход NAT. Его удобно использовать для запуска VPN-серверов на компьютерах с шлюзами, маршрутизаторами и межсетевыми экранами.
SoftEther VPN состоит из трех основных элементов:
- VPN-сервер для запросов VPN-клиентов. Он принимает внушительное количество VPN-протоколов, включая OpenVPN, L2TP, L2TPv3, IPSec и SSTP.
- VPN-клиент для подключения VPN-сервера. Необязательно использовать клиент от SoftEther, чтобы подключиться к VPN, — это можно сделать с помощью других клиентов и протоколов. Однако он дает определенные преимущества и удобства.
- ПО SoftEther VPN bridge. Поддерживает функциональность для пользователей или компаний.
Какой VPN-протокол лучше
Я рассмотрел самые популярные протоколы, чтобы определить их сильные и слабые стороны. В критерии оценивания входят алгоритмы шифрования, сжатие данных, а также особенности самих протоколов и их передачи данных. Скорость работы специально не учитывал, поскольку для каждого соединения она индивидуальная. Например, скорость OpenVPN зависит от размера буфера отправки и приема.
| Протокол | Безопасность, шифрование | Стабильность подключения | Совместимость с устройствами |
| Lightway | Высокая, ECDH + wolfSSL | Средняя | Большинство ОС, т.к. внедрен в ExpressVPN |
| OpenVPN | Высокая, 160/256-бит, TLS с DES, RC2, DESX, BF, CAST, AES | Высокая | Широкая поддержка ПК и мобильных устройств. Надежные алгоритмы шифрования. Требуется ПО сторонних производителей |
| PPTP | Низкая, 128-бит, MPPE с RSA RC4 | Высокая | Уверенная поддержка Windows ПК. Слабая безопасность. Полезен для контента с географическими ограничениями |
| SSTP | Высокая, AES 256-бит | Средняя | Уверенная поддержка Windows. Работает на некоторых дистрибутивах Linux |
| IPsec/L2TP | Высокая, 256-бит, AES или 3DES через IPSec | Средняя | Поддержка разных устройств и платформ. |
| IPsec/IKEv2 | Высокая, 256-бит, Blowfish, Camellia, 3DES, ChaCha20, AES | Высокая | Ограниченная поддержка платформ, за исключением Windows. Подходит для мобильных устройств |
| WireGuard | Высокая, ChaCha20, Curve25519, HKDF, BLAKE2, SipHash24 | Средняя, но бывают проблемы | Поддерживает весь спектр ОС |
| SoftEther | Высокая, 256-бит, можно использовать другие протоколы поверх | Высокая | Поддержка нескольких десктопных и мобильных ОС. Нет нативных операционных систем. Подходит для мобильных устройств |
| Совсем небезопасен | Наблюдаются проблемы с безопасностью | Безопасен | Высокий уровень безопасности |
| PPTP — устаревший,- легко взломать. |
L2TP/IPSec + считается безопасным в совокупности с AES- уязвим для атак человек посередине |
IKEv2/IPSec + быстрый+ хорошо работает на мобильных устройствах- закрытый исходный код |
OpenVPN + высокая скорость+ золотой стандарт/крайне универсален+ открытый исходный код |
| SSTP — уязвим для атаки «человек посередине» на SSLv3- имеет закрытый исходный код |
WireGuard + открытый исходный код+ высокая скорость и безопасность |
||
| SoftEther + высокая скорость- требуется ручная настройка |
Степень безопасности VPN-протоколов.
У каждого VPN-протокола есть свои преимущества и недостатки с точки зрения безопасности, скорости и простоты использования. Рассмотрим, для каких задач их лучше использовать.
- Обеспечение безопасности. OpenVPN защищает данные пользователей и поддерживает быструю скорость работы. Однако с последним бывают проблемы.
- Улучшение пользовательского опыта. WireGuard, как и OpenVPN, подходит для повседневной работы с VPN.
- Организация кроссплатформенности. Способность IKEv2/IPSec к быстрому подключению делает его отличным решением для мобильных телефонов.
- Кастомизация VPN. L2TP/IPSec подходит для ручной настройки VPN. Он обеспечивает относительную безопасность и скорость, но уступает более новым решениям.
- Разработка собственных решений. PPTP прост в настройке, поэтому его стоит рассмотреть, если хотите запустить домашний VPN-сервер. SoftEther поддерживает другие варианты протоколов и открыт для различных экспериментов.
- Ускорение работы VPN. Lightway отличается высокой скоростью и имеет самую маленькую кодовую базу среди всех VPN-протоколов.