Авторизация

ВОПРОСЫ ПРО VPN ТУННЕЛЬ И НАШУ СИСТЕМУ УДАЛЕННОГО ДОСТУПА

Удаленный доступ в сеть без белого IP адреса через VPN туннель

Прямо сейчас на этом сайте!

 

Зачем, если у многих операторов связи есть услуга типа "Реальный IP / Белый IP адрес"

Да, такая услуга есть. Однако, смотрите пример стоимости услуг.

VPN туннель для удаленного доступа

 

1. МТС (http://www.mts.ru/mobil_inet_and_tv/tarifu/internet_dly_odnogo/additionally_services_comp/real_ip/)

106 руб. ежемесячно, 35 руб. подключение и плата за трафик - 10 руб. за Мб! То есть все безлимитные тарифы отменяются и вам будут выставлены дополнительные счета за трафик.

 

2. Билайн (http://moskva.beeline.ru/b2b/products/mobile-internet/enterprise-mobility/details/postoyannyy-ip-vklyucheno-2-gb/)

600 руб. ежемесячно, 2 ГБ в месяц.

 

3. Мегафон (http://moscow.megafon.ru/internet/services/prochie_uslugi/dinamicheskijo_ip-adres.html)

(убрали с сайта). Но по другим сведениям:

10 руб в день и 500 руб за подключение (статический IP).

 

4. Теле2

Услуга для физических лиц отсутствует. По крайней мере, на сайте Теле2 нам найти ничего не удалось.

 

В итоге: использование услуги "Реальный IP" или "Белый IP" обойдется вам дополнительно от 200-500 руб. в месяц.

 

Да и дело не всегда в деньгах.

  • Многие провайдеры не предоставляют "Белый IP адрес" никому кроме юридических лиц. То есть, ни физ.лицо, ни ИП не смогут оформить такую услугу.
  • Кроме того, "выставляя наружу" порты своих устройств вы подвергаете устройства риску атаки из сети Интернет. Вам придется следить за безопасностью своих устройств, но сделать это веcьма не просто даже подготовленному специалисту.
  • Также важным преимуществом является возможность объединения ваших устройств в вашу собственную, частную сеть, вне зависимости от адресов провайдера. То есть завтра вы можете поменять своего провайдера, но, используя нашу систему, для вас все останется по-прежнему.

 

Более подробное сравнение стоимости вы можете найти на сайте в разделе "Для чего", например сравнение с МТС.

 

 

 

Зачем мне ваша услуга если есть хостинг в Амазоне, Гугле, Яндексе и т.д.

Если вы можете все сделать и настроить сами - это замечательно.

Наш сервис ориентирован на тех пользователей, которые не настолько подкованы в этом вопросе. Не все смогут добиться желаемой цели со своим собственным VPN-сервером. К тому же, за Амазоновский хостинг, в итоге, придется платить или каждый год все восстанавливать заново, когда истечет срок бесплатного использования.

 

В дополнение, стоит иметь ввиду, что не все устройства в современных домашних сетях поддерживают какой-то единый VPN протокол. Это означает, что "на своем личном VPN сервере" вам, возможно, придется иметь несколько сервисов для одновременной поддержки VPN туннелей среди которых - PPTP, L2TP, L2TP/IPsec, IKEv2/IPsec, SSTP, OpenVPN, Openconnect и WireGuard.

 

Несомненно, все это можно сделать, но зачем? При использовании нашей службы вы настроите все за 15-20 минут и получите единую домашнюю сеть через VPN туннель

Помимо прочего, с февраля 2022 года возникли сложности с регистрацией аккаунтов у большинства зарубежных облачных провайдеров из-за отказа Visa и Mastercard работать с Россий. Где для регистрации потребуется указать действующую карту.

 

Конечно, можно использовать и российского облачного провайдера, но стоимость виртуалки с белым IP адресом составит от 500 руб. в месяц. Оправдана ли такая цена только для удаленного доступа - решать вам.

 

 

Можно ли выйти в Интернет через службу VPN туннелей от VPNKI

Нет. Мы не предоставляем доступ пользователям к ресурсам сети Интернет.

Однако, вы можете собрать конфигурацию, при которой трафик всех ваших туннелей будет выходить в Интернет через один, выбранный вами собственный VPN туннель. Это полезно и для обхода ограничений вашего провайдеров, если такие установлены по IP адресам источника.

 

 

Это не бесплатно

Увы, да. С 2016 по 2018 годы мы были полностью бесплатным сервисом. Однако, время идет и нам необходимо окупать канал связи и оборудование. Поэтому с мая 2018 года мы ввели небольшую оплату за использование наших возможностей. Это касается только тех, кто зарегистрировался в системе, начиная с этой даты. Для всех "старых пользователей" ничего не изменилось. Для "старичков" по-прежнему актуальны пожертвования на поддержание системы:

Yoomoney и просто с карты - https://sobe.ru/na/vpnki.

Ну и конечно множественные нажатия на баннеры! (с февраля 2022 отключены).

 

 

Почему вы раньше предоставляли VPN туннели бесплатно, в чем подвох

Подвоха нет, дело было в двух вещах.

 

Во-первых, мы сами являемся пользователями системы для своих квартир, дач и небольшого бизнеса. Мы понимаем, что денег на этой системе не заработать. Слишком узкий сегмент рынка, однако, пользу система принести сможет.

 

Второй момент сугубо технический. Сделать "анонимный" VPN-доступ в Интернет не сложно. В мире есть множество "анонимных" провайдеров VPN (анонимный, естественно, в кавычках). Однако, сложнее сделать так, чтобы пользователи попадали в свою собственную сеть, не зависимую ни от кого. Эта технологическая задача и решалась нами в период реализации проекта и она до сих пор проходит тестирование.

 

Нам иногда приходится слышать: "Вот подключусь к вам и вы будете видеть мой трафик". Что тут ответить? Нам Ваш трафик не интересен. Вы можете шифровать его поверх наших туннелей, можете настраивать правила межсетевых экранов, можете делать все что захотите. Нам это безразлично, мы лишь предоставляем вам транспортную сеть.

И да, мы не выпускаем ваш трафик из туннелей в Интернет. Это значит, что через нас проходит не весь ваш Интернет трафик, с покупками в интернет-магазинах и онлайн-банкингом. А лишь тот, который вы сами решили отправить через ваши VPN туннели.

 

 

Сколько у вас услуг?

Всего базовых услуг четыре:

1. Объединение неограниченного числа ваших VPN туннелей в единую сеть, с возможностью маршрутизации ваших частных сетей вида 10.0.0.0, 192.168.0.0.

2. Доступ через прокси. Это когда один VPN туннель строится от вашего модема (маршрутизатора), а удаленный доступ из Интернет к сети за ним происходит через наш HTTP и SOCKS5 прокси. С аутентификацией по логину/паролю.

3. Доступ через публикацию URL. Когда один VPN туннель строится от вашего модема (маршрутизатора), а доступ из Интернет к внутреннему ресурсу, расположенного в частной сети (например 192.168.1.1), осуществляется через специализированное доменное имя вида https://<ваше-имя>.vpnki.ru. Подробно смотрите вот здесь Публикация URLПубликация URL.

4. Доступ через опубликованный TCP или UDP порт. Когда один VPN туннель строится от вашего маршрутизатора, а доступ из сети Интернет к TCP или UDP порту домашнего устройства осуществляется через специальный внешний порт на нашем адресе msk.vpnki.ru:XXXXX. Это услага Проброс TCP/UDP порта.

 

Вы можете использовать и комбинировать все четыре услуги удаленного доступа одновременно в зависимости от своих потребностей.

 

Как осуществляется подсчет трафика VPN туннелей

Допустим у вас тариф PLAN-MYDEV с лимитом в 1ГБ в сутки.
В таблице тарифов не указана детализация (входящий/исходящий/суммарный), потому что в разных ситуациях это будет по разному.

Технически, система раз в несколько минут суммирует входящий трафик по всем туннелям пользователя в "Суммарный входящий". А исходящий трафик в "Суммарный исходящий". Как только один из этих параметров превысит лимит тарифа (1ГБ), то туннели отключаются. Но сначала система вышлет предупредительное письмо.
Количество туннелей не влияет на принцип подсчета.

В ситуации, когда вы используете два туннеля и передаете трафик между ними, то исходящий трафик одного туннеля станет входящим трафиком другого и "учтется дважды". Но это справедливо лишь в том случае, если устройства в двух туннелях пересылают друг другу что-то приблизительно одинаковое по объему. Но такое бывает крайне редко.
Поэтому этот "двойной учет" на самом деле не двойной.
Например, если с одной стороны работает видеокамера, а с другой компьютер, который постоянно принимает поток с камеры, то, отключение произойдет при достижении лимита в 1ГБ, например, на исходящем потоке туннеля камеры. И фактически это будет трафик одного туннеля без двойного учета.

В ситуации, когда вы используете один VPN туннель и услугу "Проброс TCP порта" или "Публикацию URL", то все проще. В этом случае учет происходит только по VPN туннелям и не происходит по услугам. То есть отключение произойдет при достижении 1ГБ для входящего или исходящего трафика туннеля.

Стоит иметь ввиду, что "входящий" трафик по туннелю на сервер VPNKI и "исходящий" с сервера в другой туннель не обязательно будут равны.
Дело в том, что на вход серверу могут поступать пакеты, которые не предназначены другому туннелю и не будут в него перенаправлены. Например, трафик broadcast, multicast. Или другие пакеты, которые должны были бы идти в Интернет, а почему-то идут в туннель и доходят до интерфейса сервера.

 

 

Дополнительные "Приложения" для VPN туннелей

В 2017 году мы запустили платформу для организации новых возможностей в ваших сетях. Идея состоит в том, чтобы предоставить пользователям возможность использования услуг, которые традиционно были доступны лишь внутри локальной сети. Или если такие услуги нужны нашим пользователям.

К таким услугам относятся:

- сервер имен сети Microsoft - WINS,

- сервер DNS,

- сервер IP телефонии и другие,

- сервер брокера сообщений MQTT,

- пространство хранения Space (временно отключена).

 

 

Кто может "видеть" мой трафик через VPN туннель

Трафик VPN туннелей различных пользователей разделен и можно сказать, что пользовательские сети «живут» в отдельных сегментах. Такая архитектура описывается термином VRF (Virtual Route Forward) и позволяет пользователям иметь собственные таблицы маршрутов и правила обмена трафиком.

Благодаря этой технологии пользовательский трафик не смешивается, а центральная точка обмена трафиком получает возможность маршрутизации пользовательских сетей, даже если все они одинаковы и имеют вид, например, 192.168.0.0. Поэтому система маршрутизирует трафик из частных адресных пространств 192.168.x.x для многих пользователей одновременно, не используя при этом трансляции адресов (NAT) и не давая пользователям взаимодействовать друг с другом.

Вы не сможете получить доступ к туннелям "соседнего пользователя", даже если будете знать используемые им адреса. Так же и в обратную сторону. Никакой "соседний пользователь" системы не сможет получить доступ к вашей частной сети.

Как было сказано выше, мы не мониторим и не храним ваш трафик. Однако, для целей решения технических проблем c VPN туннелями мы можем делать это с вашим участием и по вашей просьбе.

 

 

Какие есть ограничения при объединении моих сетей через VPN туннель

Небольшие ограничения есть:

  • Ваша домашняя и дачная сети должны использовать РАЗНЫЕ адресные пространства. Например, 192.168.1.0/24 и 192.168.2.0/24. Только если адресные пространства НЕ совпадают служба VPNKI сможет осуществлять маршрутизацию. При совпадении адресных пространств осуществите перенастройку хотя бы одной части сети и устройств.
  • Вашим устройствам на концах VPN туннелей будут автоматически назначены адреса из адресного пространства 172.16.0.0/16. При совпадении этих адресов с адресами в домашней сети следует произвести перенастройку домашней сети или подождать следующей версии системы VPNKI, где у пользователей появится выбор в использовании для туннелей адресов из сетей 192.168.0.0, 172.16.0.0, 10.0.0.0.

 

 

Какие VPN протоколы поддерживаются

В самом начале нашей разработки основным был выбран протокол PPTP, как наиболее простой и широко поддерживаемый протокол.

Однако, с ним возможны сложности в случае, если ваш провайдер, по какой-то причине, блокирует трафик протоколов PPTP и GRE. (Надеемся, что это не ваш случай).

Потом мы добавили другие протоколы и теперь у вас есть возможность использовать:

PPTP,

L2TP,

L2TP c шифрованием IPsec,

OpenVPN (на выбор - через UDP и TCP, с шифрованием и без),

SSTP,

IKEv2/IPsec EAP MS-CHAPv2,

WireGuard,

Openconnect.

 

 

А что у вас с шифрованием VPN туннелей

Мы поддерживаем:

PPTP без шифрования MPPE с целью возможности подключения старых устройств, которые не имели возможность шифрования.

PPTP c шифрованием MPPE.

L2TP без шифрования.

L2TP c IPsec с шифрованием.

IKEv2 / IPsec с шифрованием.

OpenVPN - с шифрованием и без него.

SSTP - c шифрованием.

WireGuard - с шифрованием.

Openconnect - с шифрованием.

 

 

У вас авторизация VPN соединений только по протоколу CHAP

До определенного времени было именно так и так написано в инструкциях. Однако, с той поры мы добавили MS-CHAPv2. Так что теперь у нас есть CHAP и MS-CHAPv2.

 

 

Соединение через прокси - зачем мне это

Мы запустили возможность доступа к ресурсам вашей сети через прокси. Это означает, что один VPN туннель от устройства в домашнюю сеть вам, по-прежнему, нужен. А вот вместо второго туннеля вы можете использовать свой браузер в Интернете с настройками прокси. Мы используем два прокси сервера для вас - HTTP и SOCKS5 прокси серверы.

HTTP прокси позволит вам получить соединение с web-ресурсами внутри локальной сети по HTTP, а SOCKS5 прокси позволит установить любые TCP соединения, что удобно использовать при доступе к домашним устройствам через ssh и VNC приложения, а также через API. Более подробно смотрите в инструкции.

 

 

 

Публикация URL - зачем мне это

Мы добавили возможность публикации внутреннего ресурса (например http://192.168.1.1) под внешним доменным именем вида https://your-name.vpnki.ru.

Это НЕ услуга Dynamic DNS и не хостинг ваших приложений. Эта услуга основана на технологии reverse proxy (обратный прокси L7).

Это означает, что один VPN туннель в домашнюю сеть вам, по-прежнему, нужен. А вместо второго туннеля вы можете сделать "соответствие" (маппинг) своего внутреннего web-ресурса во внешнее доменное имя. Эта услуга вам поможет тогда, когда вы не можете или не хотите создавать больше одного туннеля.

Услуга по публикации URL, по определению, работает лишь с web-ресурсами и имеет некоторые технические ограничения. Более подробно смотрите в инструкции.

 

 

 

Проброс TCP или UDP порта - зачем мне это

Допустим вы хотите получить удаленный доступ к домашнему устройству не по протоколу HTTP/HTTPS (для этого вы можете использовать и "Публикацию URL"), а по любому другому протоколу, работающему поверх TCP или UDP. К таким протоколам могут относиться RDP, VNC, ssh, FTP и многие другие.

Эта наша услуга основана на технологии reverse proxy L4 (обратный прокси L4).

Это означает, что один VPN туннель в домашнюю сеть вам, по-прежнему, нужен. А вот вместо второго туннеля вы можете сделать "соответствие" (маппинг) своего внутреннего IP адреса устройства и его порта во внешний порт адреса msk.vpnki.ru. Эта услуга вам поможет тогда, когда вы не можете или не хотите создавать больше одного туннеля. Более подробно смотрите в инструкции.

 

 

Почему пинги после подключения VPN туннеля (PPTP, L2TP, SSTP) соединения идут не сразу

Да, так сделано специально для подключений устройств по протоколам PPTP, L2TP и SSTP.

Дело в том, что многие пользователи подключают свое дачное оборудование по низкоскоростным каналам.

В этом случае, запрос от клиента на выдачу адресов и маршрутов по протоколу DHCP приходит с очень большой задержкой. Мы ввели таймаут для ожидания подобного запроса от всех клиентов. Сейчас этот таймаут составляет около 8 секунд. Через 8 секунд система считает, что запрос DHCP от клиента уже не придет и подключает его окончательно.

Этот таймаут не используется при подключениях по протоколу OpenVPN, так как внутри данного протокола реализован иной механизм передачи адресов и маршрутов. Для соединения по протоколу WireGuard тоже нет поддержки протокола DHCP.

 

 

Есть ли у пользователей VPN туннелей доступ к маршрутизации на сервере

Пока у пользователей есть доступ к таблице маршрутов в точке обмена только для ее просмотра. Такой же доступ есть и просмотра правил межсетевого экрана.

Однако, в будущем, мы планируем добавить интерфейс для модификации маршрутов и правил. Следует иметь ввиду, что информация о маршрутах доступна только при подключенном туннеле.

 

 

Можно чуть подробнее о том, как все работает

После того, как вы зарегистрировались и вошли в систему, вам предоставляется возможность создания VPN «туннелей». В терминах системы туннель это подключение или соединение.

Для каждого туннеля вам будет автоматически назначено имя, а пароль для соединения вы придумаете сами.

Имя и пароль туннеля вам необходимо будет прописать на своем устройстве – маршрутизаторе, телефоне, компьютере и т.д. При создании туннеля, для вашего устройства будет зарезервирован IP-адрес и вы можете видеть его в личном кабинете. Этот адрес вашего туннеля в сети VPNKI выглядит приблизительно как 172.16.xxx.xxx.

Поменять этот адрес, как и назначенное имя, вы не можете. Однако, вы может просто создать новый туннель, удалив старый.

Следующим шагом, для каждого из туннелей вам будет необходимо описать адресацию сети, которая расположена ЗА данным устройством.

Например, если туннель "user123" подключен с домашнего маршрутизатора, то для доступа из других туннелей к домашней сети вам нужно будет указать адресацию домашней сети в виде 192.168.10.0/24 в личном кабинете системы.

После выполнения указанных шагов система готова к приему VPN соединений от ваших устройств. При успешном установлении соединения и проверки имени и пароля соедиения на ваше устройство могут быть переданы доступные маршруты из вашей единой сети по протоколу DHCP (опции 121 и 249). Это произойдет в том случае, если ваше устройство запросит такую информацию, используя запрос DHCP-Inform.

В случае отсутствия у устройств возможности получения IP-адреса по протоколу DHCP (Android, Linux), вам будет необходимо прописать в ручном режиме маршруты в настройках своего VPN соединения.

Применение настроек маршрутизации на сервере VPNKI и передача маршрутов пользовательским устройствам осуществляется ТОЛЬКО при следующем подключении, поэтому в целях тестирования всегда осуществляйте переподключение VPN туннеля.

 

 

Какие дополнительные возможности у вашей системы VPN туннелей существуют

Кроме туннелей и других услуг, в системе есть и такие возможности:

  • "Белый список". Список IP адресов сети Интернет, с которых VPNKI будет принимать соединения ваших туннелей. Этот список пользователь может сформировать сам. Список можно использовать для повышения защищенности вашей частной сети.
  • "Статистика подключений" и "События безопасности". Эта информация из журналов системы удаленного доступа на вашей личной странице. Она позволит вам упростить поиск неисправностей.
  • "Гостевой доступ". Это создание определенных ограничений для выбранного туннеля. Вы сможете ограничить трафик для "гостя" (гостевого туннеля) в своей внутренней сети.
  • "Туннель как маршрут по умолчанию". Это способ перенаправить Интернет-трафик всех ваших туннелей через общий, выбранный вами, туннель.
  • "Оповещения о подключении/отключении по почте". Способ мониторинга подключения/отключения туннелей. Полезен для поиска неисправностей и в целях безопасности.
  • "Бот в мессенджере Телеграм". Информация о подключении/отключении туннелей, информация о тарифе, услугах и т.д.
  • "Инструменты". Это отображение различной информации вашего виртуального маршрутизатора. Среди этих данных - таблица маршрутов, результат команды ping, правила межсетевого экрана, результат запроса определенного порта TCP по протоколу http, включение / выключения серверной утилиты iperf для измерения скорости VPN туннеля.
  • "Состояние туннелей". Интерактивная страница со статусом подключения ваших туннелей с возможностью принудительного отключения соединения со стороны сервера.
  • "Измерение скорости туннеля". Запуск программы iperf на сервере для тестирования скорости вашего VPN туннеля.

 

Какой тариф выбрать для VPN туннеля

У нас несколько тарифов и в их названиях мы постарались описать области их применения.

В любом случае, мы рекомендуем начинать с самого простого и низкоскоростного тарифа PLAN-MYDEV (или PLAN-BUSINESS-MYDEV). Вы всегда сможете изменить тариф на любой другой, а неиспользованные коины за месяц вернутся на ваш счет.

Однако, для задач, связанных с передачей видео трафика или картинки удаленного рабочего стола через VPN соединение, мы рекомендуем сразу начинать с тарифа PLAN-VIDEO.

При изменении тарифа вам потребуется переподключить VPN туннели, так как настройки скорости применяются в момент подключения устройства.

 

 

ДОПОЛНИТЕЛЬНО ПО ТЕМЕ УДАЛЕННОГО ДОСТУПА ЧЕРЕЗ VPN ТУННЕЛЬ

  • Про выход в Интернет через VPN туннель и центральный офис можно смотрите здесь.
  • Про VPN туннели и протоколы подключения можно смотреть здесь.
Подключайтесь за три шага - 14 дней бесплатно!