Це машинний переклад, який може містити помилки!
VPN, або Virtual Private Network, є рішенням, яке дозволяє нам створити безпечне (зашифроване) з’єднання з іншою мережею та пристроями через інтернет.
Спочатку, що таке приватна мережа? (не VPN)
Приватна мережа — це мережа, ізольована від інших мереж. Це може бути корпоративна мережа, домашня мережа або інший тип мережі, яка не є відкритою для всіх. Відкрита мережа, наприклад, в аеропорту, також є технічно приватною мережею, але зазвичай вона налаштована для ізоляції пристроїв один від одного з метою підвищення безпеки.
Tenkt scenario
Уявіть собі, що у вас вдома є принтер, який ви хочете використовувати для друку документа. Цей принтер підключений до вашої домашньої мережі, і тому має приватну IP-адресу, яка доступна лише пристроям, підключеним до вашої власної мережі. Ви можете використовувати свій комп’ютер вдома для друку без проблем, але ваш сусід знаходиться в іншій мережі і не може безпосередньо отримати доступ до вашого принтера.
Ви також не можете зв’язатися з принтером зі школи або інших мереж, оскільки принтер не доступний в Інтернеті (чого він і не повинен бути з міркувань безпеки).
Merk: Ingen regler uten unntak…
Деякі пристрої пропонують рішення, де вони використовують технологію, пов’язану з VPN, щоб дозволити вам друкувати документи з будь-якої точки світу, поки у вас є доступ до Інтернету. Це може становити загрозу безпеці, тому будьте обережні з тим, що ви підключаєте до своєї мережі, особливо з пристроями IoT або камерами спостереження.
Чи помітили ви, що кожного разу, коли ви підключаєтесь до нової мережі, вам задають питання, чи підключаєтесь ви до «приватної» чи «публічної» мережі?
Це тому, що Windows (або інші операційні системи) використовують цю інформацію, щоб визначити, які правила брандмауера слід застосувати для захисту вашого пристрою. Приватна мережа зазвичай незахищена (всі підключені пристрої автоматично довіряють один одному), і тому вразлива до інших пристроїв у тій самій мережі. Натомість, вам легше ділитися принтерами, файлами та іншими ресурсами, коли машини знаходяться в одній мережі.
Комерційні гравці
Існує багато комерційних гравців, які пропонують VPN-послуги, рекламуючи, що вони можуть захистити вашу конфіденційність в інтернеті та дозволити вам переглядати веб-сторінки анонімно. Це не завжди вся правда, і важливо знати, що VPN насправді робить.
На практиці мережеве з’єднання переміщується в інше місце (зазвичай в іншу країну), оскільки ми використовуємо VPN-сервери як посередника від нашого клієнта до інтернету.
Комерційна VPN != безпека
Багато акторів рекламують себе як послугу, що пропонує підвищену безпеку, але для більшості користувачів це не так. Коли ми відвідуємо веб-сайти, які використовують HTTPS (навіть у публічному Wi-Fi), з’єднання вже зашифроване, і VPN, отже, не обов’язково пропонує додаткову безпеку. Вона також не може «приховати» вашу активність від вашого інтернет-провайдера повністю.
В деяких країнах або місцях, однак, це може бути вигідно, але важливо знати, що ви переміщуєте свою довіру від вашого інтернет-провайдера до VPN-провайдера.
Публічні мережі
Ми часто чуємо, що не слід підключатися до незахищених публічних мереж, таких як у кафе, аеропортах, готелях тощо. Це не обов’язково є проблематичним, доки ми використовуємо HTTPS (зашифрований) для відвідування вебсайтів.
Проблематичним може бути, якщо хтось налаштовує “підроблену” мережу, наприклад, зі шкідливим Captive Portal (веб-сторінкою, яка зазвичай вимагає входу в систему або прийняття умов перед отриманням доступу до Інтернету).
Чи перевірили ви, чи у вас є “автоматичне підключення” до відкритих мереж на мобільному телефоні чи ноутбуці? Це може призвести до того, що ваш пристрій підключиться до шкідливої мережі без вашого відома.
Що ми можемо використовувати VPN для?
VPN можна використовувати для підключення пристроїв через мережі, ніби вони знаходяться в одній (приватній) мережі, більш безпечним способом, ніж безпосередньо піддавати пристрої впливу інтернету (відкривати порти у брандмауері). Зауважте, що нам все одно потрібен VPN-сервер, до якого ми можемо підключитися, ми можемо налаштувати його самостійно (потребує відкриття у брандмауері), або використовувати провайдера, який пропонує реле (посередника) для нас. Популярні варіанти – OpenVPN, WireGuard та IPsec.
Eksempel
У вас є ігрова ПК, яку ви хочете підключити до ноутбука, коли ви в школі, за допомогою програмного забезпечення Remote Desktop (RDP). Ви можете налаштувати VPN-рішення, яке дозволить вам підключитися до вашої домашньої мережі, а потім використовувати RDP для підключення до вашого ігрового ПК, ніби ви вдома.
У нашому випадку ми будемо використовувати її для доступу до ресурсів тут у школі з інших місць у світі, і пізніше ми розглянемо хмарні обчислення, де ми хочемо підключатися до віртуальних серверів у хмарі безпечним способом. Зазвичай ми відкриваємо порт до нашого сервера, щоб налаштувати це, перш ніж закриваємо сервер після цього (зазвичай Site-to-site VPN).
Єдина практична відмінність полягає в тому, що ми отримуємо іншу IP-адресу через нашу VPN мережу (наприклад, часто використовується 100.64.x.x/10 для VPN), але функціональність така, ніби ми знаходимося в одній мережі. Це означає, що ми можемо використовувати, наприклад, RDP, SSH, FTP (File Transfer Protocol) тощо, не відкриваючи наші служби у брандмауері.
Завдання 1 - Встановлення TailScale VPN
На щастя для нас, встановлення VPN просте, особливо якщо ви використовуєте сервіс, такий як TailScale. Це комерційний сервіс, який пропонує простий спосіб налаштування WireGuard VPN, який надає нам більш ніж достатньо функціональності на безкоштовному рівні (100 пристроїв).
Дотримуйтесь процесу встановлення, як описано в документації: https://tailscale.com/download
Merk
Вам потрібен VPN на всіх пристроях, які ви хочете підключити до мережі. Це включає як сервери, ПК, мобільні телефони тощо.
Завдання 2 - Налаштування Exit Node
Exit Node в TailScale – це пристрій у вашій мережі, який функціонує як шлюз для всього трафіку з інших пристроїв у мережі TailScale. Це направляє весь трафік через цей пристрій, що може бути корисним для доступу до ресурсів у певній мережі або отримання нової IP-адреси для обходу географічних обмежень.
Ми використовуємо Nginx Proxy Manager для обмеження доступу до певних ресурсів на основі IP-адреси (наприклад, вашого сервера Proxmox), з Exit Node у школі ви зможете отримати IP-адресу, яка знаходиться “у школі”, незалежно від того, де ви знаходитесь у світі.
Дотримуйтесь документації для налаштування Exit Node: https://tailscale.com/kb/1103/exit-nodes#configure-an-exit-node
Obs! “Edit Routes” menu
Не забудьте про крок увімкнення “Use as Exit Node” у меню TailScale на пристрої, який ви налаштували як Exit-Node. Це звичайний крок, який часто забувають.
Exit-Node на VPS у хмарі!
Якщо ви налаштовуєте віртуальну машину в іншій країні через, наприклад, Azure (де ви отримуєте безкоштовні кредити як студент), то ви можете легко налаштувати Exit-Node, щоб отримати IP-адресу в цій країні - так само, як комерційна VPN-послуга, але з меншими обмеженнями та більшою користю!