VPN в VyOS
VyOS поддерживает множество VPN протоколов для создания безопасных туннелей между сетями и удаленными пользователями.
Доступные VPN протоколы
WireGuard
Современный, быстрый и безопасный VPN протокол.
Преимущества:
- Высокая производительность (быстрее IPsec и OpenVPN)
- Простая конфигурация
- Современная криптография (ChaCha20, Curve25519)
- Быстрое переподключение (идеально для мобильных устройств)
- Автоматический роуминг
Сценарии использования:
- Site-to-Site VPN между офисами
- Road Warrior для удаленных сотрудников
- Hub-and-Spoke топология
- Любые сценарии, где важна производительность
Протокол: UDP (порт 51820)
IPsec
Enterprise-grade VPN с широкой совместимостью.
Охватывает:
- Site-to-Site IPsec VPN
- IKEv2 для мобильных клиентов
- Road Warrior с pre-shared ключами
- Road Warrior с сертификатами
- IPsec с динамической маршрутизацией (BGP over IPsec)
Преимущества:
- Стандартизированный протокол
- Совместимость с любыми вендорами
- Высокая безопасность
- Поддержка hardware acceleration
OpenVPN
SSL VPN для legacy и специфичных сценариев.
Охватывает:
- OpenVPN сервер для удаленного доступа
- SSL/TLS туннели
- Конфигурация клиентов (Windows, Linux, macOS, mobile)
- Мультифакторная аутентификация
- Push-маршруты для клиентов
Преимущества:
- Работает через TCP (обход блокировок)
- SSL сертификаты для аутентификации
- Гибкая конфигурация
- Широкая поддержка клиентов
L2TP/IPsec
Legacy VPN для Windows и macOS клиентов.
Охватывает:
- L2TP/IPsec сервер
- Конфигурация для Windows клиентов
- Конфигурация для macOS/iOS
- RADIUS интеграция для аутентификации
Преимущества:
- Встроенная поддержка в Windows/macOS/iOS
- Не требует дополнительного клиента
- Простая настройка для конечных пользователей
Сравнение VPN протоколов
| Характеристика | WireGuard | IPsec | OpenVPN | L2TP/IPsec |
|---|---|---|---|---|
| Производительность | Отлично | Хорошо | Средне | Средне |
| Простота настройки | Отлично | Сложно | Средне | Просто |
| Безопасность | Отлично | Отлично | Хорошо | Хорошо |
| Совместимость | Хорошо | Отлично | Отлично | Отлично |
| Роуминг | Отлично | Плохо | Хорошо | Плохо |
| NAT traversal | Отлично | Сложно | Отлично | Хорошо |
| Мобильные клиенты | Отлично | Хорошо | Хорошо | Отлично |
| Hardware acceleration | Нет | Да | Нет | Да |
Выбор VPN протокола
Используйте WireGuard если:
- Нужна максимальная производительность
- Простота настройки критична
- Мобильные клиенты (быстрое переподключение)
- Современная инфраструктура
- Site-to-Site между VyOS устройствами
Используйте IPsec если:
- Нужна совместимость с другими вендорами
- Enterprise окружение
- Hardware acceleration доступен
- Требуется стандартизация
- Интеграция с корпоративными политиками
Используйте OpenVPN если:
- Нужен TCP режим (обход блокировок)
- Legacy клиенты
- Требуется гибкая конфигурация
- SSL сертификаты для аутентификации
- Специфичные требования к маршрутизации
Используйте L2TP/IPsec если:
- Windows/macOS клиенты без дополнительного ПО
- Простота для конечных пользователей
- Legacy инфраструктура
- RADIUS аутентификация
Общие концепции VPN
Site-to-Site VPN
Постоянное соединение между двумя сетями (офисами).
Характеристики:
- Статические туннели между сайтами
- Автоматическое переподключение
- Маршрутизация между сетями
- Обычно используется с динамической маршрутизацией (BGP/OSPF)
Road Warrior (Remote Access)
Удаленный доступ для мобильных пользователей.
Характеристики:
- Клиент-серверная архитектура
- Динамическое подключение клиентов
- Аутентификация пользователей
- Push конфигурации для клиентов
Hub-and-Spoke
Центральный hub соединяет множество spoke сайтов.
Характеристики:
- Централизованное управление
- Spoke сайты подключаются к hub
- Маршрутизация через hub
- Масштабируемая топология
Лучшие практики VPN
Безопасность
- Используйте сильную криптографию (AES-256, SHA-256+)
- Генерируйте уникальные ключи для каждого туннеля
- Ротируйте ключи периодически
- Ограничьте firewall доступ к VPN портам
- Используйте сертификаты вместо pre-shared ключей где возможно
Производительность
- Настройте правильный MTU (обычно 1420 для WireGuard)
- Используйте hardware acceleration для IPsec где доступно
- Оптимизируйте маршрутизацию (минимизируйте hop count)
- Мониторьте bandwidth использование
- Используйте compression только если необходимо
Надежность
- Настройте keepalive для обнаружения обрывов
- Используйте мониторинг для отслеживания туннелей
- Настройте backup туннели для критичных соединений
- Автоматизируйте переподключение при сбоях
- Логируйте события туннелей
Управление
- Документируйте топологию VPN
- Используйте описательные имена для peer-ов
- Версионируйте конфигурацию в Git
- Автоматизируйте развертывание через Ansible/API
- Регулярно тестируйте failover сценарии
Интеграция с облачными платформами
Yandex Cloud
- VPN туннели до Yandex Cloud VPC
- Site-to-Site между датацентром и облаком
- Road Warrior доступ к облачным ресурсам
- Интеграция с Yandex Cloud Interconnect
VK Cloud
- VPN подключение к VK Cloud приватной сети
- Гибридные сценарии (on-premise + cloud)
- Безопасный доступ к облачным VM
- Резервные каналы через VPN
Диагностика VPN
Общие команды
# WireGuard
show interfaces wireguard
show interfaces wireguard wg0 summary
# IPsec (будет добавлено)
show vpn ipsec sa
show vpn ipsec status
# OpenVPN (будет добавлено)
show openvpn status
show openvpn server
# Общая диагностика
ping <remote-ip> interface <vpn-interface>
monitor interfaces <vpn-interface> traffic
show log | grep vpnДополнительные ресурсы
Дополнительные VPN протоколы
- DMVPN - Dynamic Multipoint VPN для масштабируемых hub-and-spoke топологий
- OpenConnect - SSL VPN сервер для Remote Access
- SSTP Server - SSL VPN через порт 443
- PPTP Server - Legacy VPN (Deprecated)
- RSA Keys - RSA ключи для аутентификации VPN
Проверено OpenNix LLC · Обновлено