Как настроить 2 vpn соединения одновременно

Твой Сетевичок

Все о локальных сетях и сетевом оборудовании

Возможно ли сохранить максимальную конфиденциальность в сети — настраиваем двойной VPN

Проблема защиты персональных данных в интернете актуальна для людей всех возрастов. Чтобы защитить личную информацию, многие пользователи прибегают к помощи специального оборудования: межсетевых экранов, программных средств защиты, выделенных серверов. Кто-то идёт дальше — к двойному шифрованию данных с помощью Double VPN. Но как это работает и работает ли вообще?

Что такое Double VPN и каков принцип его работы

Двойной ВПН представляет собой цепочку из двух последовательно расположенных серверов, связанных VPN-соединением. Выход в интернет в этом случае осуществляется следующим образом: пользователь связывается с первым сервером, тот перенаправляет трафик на второй сервер, и выход в сеть осуществляется уже с него. Что происходит с потоком данных при таком подключении?

Изначально устройство пользователя (ПК, ноутбук, смартфон) шифрует данные и отправляет их на первый VPN-сервер в цепочке. Этот сервер производит подмену IP-адреса на свой и расшифровывает данные. Но вместо того, чтобы переадресовать информацию сразу в сеть, он её снова кодирует и отправляет на следующий сервер VPN.

Второй сервер повторяет процедуру расшифровки информации и замены IP-адреса, после чего поток данных направляется в конечный пункт назначения (например, на веб-сайт, который просматривает пользователь). Серверы, участвующие в цепочке, обычно находятся в совершенно разных географических местах и даже в разных странах, что в разы повышает анонимность пользователя.

Спасает ли от слежки двойной VPN?

У многих пользователей VPN ассоциируется с анонимностью и защищённостью передаваемых данных, а цепочка из двух и более серверов воспринимается как наивысший уровень безопасности при выходе в интернет. Так ли это на самом деле? Теоретически, при идеальных условиях (VPN-провайдер не ведёт логи, отсутствуют уязвимости в ОС, исключающие утечку DNS и реального IP) можно избежать слежки и достичь 100%-й онлайн-конфиденциальности.

Но в реальности ситуация обстоит по-другому. Утечка незащищённого трафика может произойти в те моменты, когда он декодируется на серверах — для этого достаточно прерывания соединения или временного сбоя в работе сервера. К тому же даже закодированный трафик можно расшифровать. Обычному пользователю, конечно, это не по силам, а вот хакеры справляются.

Как рассказал мне знакомый системный администратор, при необходимости пользователя, скрывающего за двойным ВПН, можно отследить, хотя это будет довольно непросто и небыстро. На официальном уровне (по запросам оперативно-розыскной службы) это происходит следующим образом: сначала осуществляется связь с провайдером IP-адреса первого в цепочке сервера и выясняется, кто арендует сервер. Любой IP-адрес принадлежит провайдеру, а тот ведёт логи (иначе не будет работать система биллинга и поддержки) и видит, кто к какому серверу подключается. Затем делается запрос арендатору, который в ответ предоставляет список всех, кто подключался к серверу в определённый день и время. Таким же образом выясняется информация по второму серверу, в результате чего становится доступным реальный IP пользователя. То есть количество VPN-серверов в связке не гарантирует стопроцентной анонимности, а лишь оттягивает время отслеживания трафика.

Преимущества и недостатки Double VPN

К плюсам технологии Double VPN пользователи относят следующие характеристики:

• двойное шифрование данных, обеспечивающее более высокую сохранность личной информации;
• дополнительный уровень безопасности благодаря смешению протоколов передачи UDP и TCP;
• сокрытие реального местоположения и истории посещений методом двойной подмены IP;
• использование серверов, расположенных в разных странах и даже континентах;
• защита от хакерских атак.

Наряду с преимуществами двойное шифрование имеет и минусы, среди которых стоит назвать такие пункты:

• снижение скорости соединения из-за двойного шифрования и географического удаления серверов;
• риск утечки информации при расшифровке данных из-за уязвимости в OpenSSL (системе защиты и сертификации данных);
• не все VPN-провайдеры предоставляют услугу двойного шифрования;
• более высокая стоимость на тарифы с Double VPN.

Как создать Double VPN

Создать и настроить собственный двойной ВПН можно двумя способами:

• использовать готовые серверы, предложенные одним из VPN-провайдеров;
• самостоятельно создать цепочку серверов с помощью виртуальной машины (ВМ).

Подключение к услуге Double VPN у провайдера

Самым простым вариантом использования технологии двойного шифрования является покупка соответствующего тарифа у VPN-поставщика. Обычно процесс подключения к серверам сопровождается подробной инструкцией и сводится к следующим шагам:

1. Создать аккаунт на сайте провайдера.
2. Выбрать и при необходимости оплатить подходящий тариф.
3. Скачать и активировать VPN-клиент (с сайта провайдера).
4. В главном окне программы выбрать нужные серверы и нажать кнопку «Подключиться». Дождаться сообщения об успешном соединении.
5. Перейти в раздел «Настройки», где вручную выбрать протокол передачи (TCP или UDP). При желании здесь же можно добавить программу в «Автозагрузку», поставив галочку напротив соответствующего пункта.
6. Проверить новый IP-адрес своего девайса в любом из специализированных онлайн-сервисов, например, 2ip.ru/whois.

Таблица: провайдеры Double VPN с русскоязычным интерфейсом

Провайдер	Количество стран, где расположены сервера	Тип шифрования	Стоимость услуги в месяц
NordVPN (Панама)	61	AES-256-CBC с 2048-битным ключом (для Windows, MAC и Android) AES-256-GCM с 3072-битными ключами (для iOS)	11.95$
DoubleVPN (Нидерланды)	14	AES-256-СВС	от 36$
VPNMonster (Сейшелы)	38	AES-256-СВС	от 5,5$
ZorroVPN (Белиз)	44	AES-256 encryption, 4096-битный ключ	15$
WhoerVPN (США)	16	AES-256-СВС	от 9.9$

Видео: новая версия клиента Whoer с функцией Double VPN

Самостоятельное создание двойного ВПН

При наличии определённых знаний и опыта, в частности умения устанавливать операционную систему и виртуальные машины (ВМ), можно создать Double VPN самостоятельно. Порядок действий при этом будет таков:

1. Установка виртуальной машины на компьютер. Из бесплатных инструментов виртуализации популярным решением является программное обеспечение VirtualBox (Virtual PC, VMWare), которое скачивается с официального сайта производителя и запускается на ПК пользователя.
2. Создание новой ВМ. После инсталляции программы в появившемся окне VirtualBox Менеджера с помощью кнопки «Создать» производится добавление новой ВМ: указывается тип и версия ОС, объём памяти, создаётся новый жёсткий диск (виртуальный), выбирается его тип и размер.

Установка двух виртуальных серверов. Можно использовать бесплатное ПО, например, OpenVPN. Однако для большей безопасности специалисты рекомендуют платные VPN-серверы, причём приобретённые у разных провайдеров, после чего следует установить один из них на основную ОС, второй — на виртуальную. Создание Double VPN. Для реализации двойного шифрования интернет-трафика следует поочерёдно подключиться сначала к VPN1, затем к VPN2. В настройках подключения пользователь может выбрать любые две страны из списка доступных, где будут физически расположены его серверы. Проверить работоспособность Double VPN через онлайн-сервис проверки IP-адреса. Если отображается IP сервера VPN2, значит создание двойной маршрутизации выполнено успешно.

Видео: создание ВМ в программе VirtualBox

Каждый человек имеет право на частную жизнь и конфиденциальность личных данных как в реальном пространстве, так и в виртуальном. Технология Double VPN — отличный способ сохранить анонимность и повысить безопасность данных при работе в интернете. Маршрутизация трафика через два VPN-сервера резко снижает вероятность того, что кто-то отследит ваши действия в сети.

Источник

Подключение двух VPN одного типа одновременно

Привет. Возможен ли сабж в Linux? Нужно подключить два PPTP VPN соединения: сперва — первое, затем — второе, не отключая первого. Проблема в том, что когда подключаю второе, то первое отключается. А шлюз второго соединения доступен только при подключенном первом соединении. Гуглил, гуглил — и ничего не нагуглил 🙁 Вот только какие-то задачи висят, но не похоже, что в обозримом будущем будут разрешены: https://bugs.launchpad.net/ubuntu/ source/network-manager/ bug/91389 https://bugzilla.gnome.org/show_bug.cgi?id=753966

Помогите, пожалуйста. От оффтопика, в котором можно проделать то, что мне надо — уже блевать тянет 🙁 Но надо по работе периодически.

Руками маршруты разруливай, чтобы ничего не падало.

Если тебе надо подключить два параллельных РРТР соединения с одного клиента к одному серверу, то хотя бы на одной из сторон должны быть разные IP адреса для разных соединений.

Либо не используй РРТР. Можно использовать какой-нибудь VPN на базе протокола UDP.

Или тебе одно соединение через другое надо прокинуть? Ничего этого неясно из поста.

Извините за неясность.

Ммм, какие либо настройки на VPN сервере я не уполномочен делать

Или тебе одно соединение через другое надо прокинуть?

Спасибо за совет. Нечто про роуты находил. В статье советовали после подключения первого впн-а прибивать маршрут Default и прописывать его заново, указав в качестве шлюза IP первого VPNa. Или типа того, пардон, я не очень силен в делах сетевых. Я пробовал так делать, но после этой процедуры ничего вообще не подключается (все подключал через GUI, nm-applet) и выдает ошибку (не помню сейчас, какую точно). Если рестартануть networkmanager.service — все начинает работать, только при рестарте все соединения сбрасываются. eth / wlan, что уж там про впн говоирть 🙂 Ну а с переписанным роутом не подключается первый впн, который нужен чтобы подключить второй. В общем, замкнутый круг или я чего-то не так делаю. Хз Вот оригинал https://www.facebook.com/permalink.php?story_fbid=330765420336785&id=1818. Только, как я понял, у автора для интернета и так уже устанавливается VPN подключение. И потому может не так понял статью. У меня инет через Wi-Fi, подключение устанавливает уже сам модем

Если я правильно понял:

Ты хочешь запустить PPTP-поверх-PPTP? Ответ: нет, невозможно. Дело не в Linux, это работать не будет на любой ОС из-за особенностей используемого в PPTP протокола GRE https://ru.wikipedia.org/wiki/GRE_(протокол)

Более того, если у тебя на маршруте до PPTP-сервера хоть где-то используется GRE — PPTP-соединение так же не будет работать. Например: домашний провайдер у тебя предоставляет интернет по PPTP, у тебя есть выделенный роутер, самостоятельно соединяющийся с провайдером. Так вот: ни с одного устройства, подключенного к этому роутеру, PPTP работать не будет.

Но можно комбинировать с VPNами, не использующими GRE: например, домашние провайдеры массово перешли на PPPoE и у них PPTP-поверх-PPPoE отлично работает. OpenVPN так же не использует GRE.

Так что если ты сделаешь, например OpenVPN-поверх-PPTP — работать будет. OpenVPN-поверх-OpenVPN работать будет. PPTP-поверх-OpenVPN работать тоже будет. PPTP-поверх-PPTP — даже не трать свое время. 🙂

Дело не в Linux, это работать не будет на любой ОС из-за особенностей используемого в PPTP протокола GRE

Блин, я наверно фигово объясняю 🙁 В винде работает. Еще разок. 1. VPN номер 1 до сети работы. У него шлюз доступен из интернета. Я его подрубаю и получаю доступ к рабочей сети 10.0.0.0/8. 2. VPN номер 2 до сети заказчика. У него глюз доступен только из рабочей сети и например имеет адрес 10.0.26.1. Соответвтеснно, не установив первое подключение я не смогу подключить второе, потому что шлюз второго (или что это? IP адрес, на который «дозванивается» ВПН соединение при подключении) недоступен из вне.

Насколько я помню, средствами NetworkManager до сих пор несколько VPN-соединений одновременно нельзя поднять. Поэтому поднимай одно с помощью NM, а второе руками.

Насколько я помню, средствами NetworkManager до сих пор несколько VPN-соединений одновременно нельзя поднять.

В 1.2 будет, который уже выйдет скоро. Если ещё не. В Федора 24 будет(есть и работает, но сама Федора 24 — пре-альфа),

О! Это как? 🙂 А он точно работает? Ты точно нигде ничего не путаешь? 🙂

Это и называется PPTP-over-PPTP.

Я тебе рекомендую перестать заниматься фигней. В идеале — оба VPN-соединения перевести на OpenVPN.

Но, возможно, «заказчик» твой упрется рогами в землю. Потому сделай у себя на работе OpenVPN, а после установки связи поднимай PPTP к заказчику.

И будет тебе щасте.

P. S. Ах, да. Если есть денежкины ресурсы, можно всё это сделать на Mikrotik’ах, чтобы для конечного пользователя (тебя) это всё было прозрачно.

Конечно, так на работе и у заказчика и ломанулись инфраструктуру переделывать из-за одного прыщевода, у которого ниработаит.

Андрюшенька, может быть ты рискнешь здоровьем повторить это при личной встрече?

Твоё? Смешно! 23-летний нижегородский молокосос называет кого-то «прыщеводом».

Реально, я поржал.

Все будет работать. На серверной стороне нужна поддержка conntrack(если там линукс) или PPTP Paththrough(если какая-нибудь проприетарная срань). Ну и MTU должен везде быть выставлен правильно — иначе соединения будут постоянно разваливаться — с фрагментацией в GRE шутки плохи от слова совсем

Я вот поднимал параллельно 2 VPN-линка с одного девайса к одному и тому же серверу. Вот там пришлось поплясать, особенно с учетом что мне были нужны оба дефолтроута. Выкрутился через network namespaces и policy based routing, но до сих пор считаю ту конфигурацию хитровыделанной 🙂

Ты не поверишь, я и себя прыщеводом называю. В свои 23 года у меня 8 лет опыта работы с линуксом, так что поверь, я знаю, о чём говорю. Можешь на линкедине ещё профиль найти, ещё поржёшь.

Почему у тебя так бомбануло? Название «прыщи», что ли, не слышал никогда?

Сколько сталкивался с PPTP — оно никогда не работало одно поверх другого. Приходилось поднимать L2TP/IPsec/OpenVPN, чтобы обеспечивать доступ сотрудникам, у которых домашние провайдеры по PPTP предоставляли доступ к Инету.

Оно соединялось ровно до того момента, как требовался GRE, после чего обрывалось. Впрочем, может быть действительно у провайдера не был разрешен этот PPTP passthrought.

Давно с PPTP уже не заморачиваюсь и просто поднимаю OpenVPN. Тем более, что PPTP ещё и небезопасен в смысле что ключ подбирается максимум за сутки.

А там, где доступ со смартфона/планшета надо, либо рутование+OpenVPN, либо IPSec.

Нет, просто мне 36 лет и опыта работы сисадмином у меня с 1999 года. Чуть меньше, чем ты вообще на свете-то живешь.

Ну тогда, раз ты такой большой и опытный дядя, ты должен понимать следующие вещи:

1) В линуксе не работают многие вещи, которые работают в других ОС. По какой причине не работают — к делу не относится.

2) Менять инфраструктуру ради одного рядового сотрудника, у которого что-то не работает именно из-за его выбора ОС (под виндой работает), никто не будет, особенно сторонняя компания-заказчик.

Именно это я и сказал, а если у тебя пригорает от слова «прыщевод», у меня для тебя плохие новости, лучше не ходи в интернет.

1) Как раз к делу относится. Лишний раз совсем недавно в этом убедился.

2) Утверждение спорное, но да ладно. Собственно, потому я ТСу и предложил поднять от него до работы OpenVPN, а потом уже до заказчика поднимать PPTP.

Другое дело, что ты-то не читаешь чего люди-то пишут. Но вот писать гадости и оскорбления на ровном месте для носящего гордое имя «выпускника ВМК МГУ» как-то не комильфо.

Ну ТС же ясно написал:

Ммм, какие либо настройки на VPN сервере я не уполномочен делать

И после этого ты ему предлагаешь поднять OpenVPN. И кто же из нас не читает то, что люди пишут?

писать гадости и оскорбления на ровном месте

Да где же ты гадости и оскорбления-то увидел? Если тебя «прыщевод» оскорбляет — читай как «линуксоид», береги нервы.

Ох, сколько набежало 🙂 Дабы не флудить, напишу все в одной сообщеньке

В 1.2 будет, который уже выйдет скоро. Если ещё не. В Федора 24 будет(есть и работает, но сама Федора 24 — пре-альфа)

О, спасибо за информацию. Проверил на арче: поставил networkmanager-git из AUR (там ща версия 1.1.какая.то). Уже дает возможность подключать несколько впн-ов но при попытке подключить второй говорит, что networkmanager-pptp плагин поддерживает только одно соединение за раз. Ну и плагин этот, собственно, стабильной старой версии 1.0.х. Его в AUR не нашел. Ок, подожду релиза тогда 🙂

О! Это как? 🙂 А он точно работает? Ты точно нигде ничего не путаешь? 🙂

Но, возможно, «заказчик» твой упрется рогами в землю

Конечно упрется 🙂 Я даже и предлагать не буду) Не будет же большая контора ради одного «прыщевода» инфраструктуру менять xD

Потому сделай у себя на работе OpenVPN

Повторюсь: я не имею доступа к инфраструктуре ни на работе, ни у заказчика. Что дали — тем и пользуюсь 🙂 Если что-то у себя на рабочем компе заводить — он не всегда бывает включен. Ну и это вообще все на крайний случай (я про заморочку с впнами), когда на своем личном ноуте из дома надо порой вылезти и посмотреть или подкрутить что-нить. Или просто поработать из дома, если не очень себя чувствуешь, но еще не заболел, но и в офис лучше не ехать. Или раз было, что свет на пол дня вырубили в офисе внезапно 🙂 Так то на рабочем компе никаких впнов нет, все без них доступно. Просто работа — работой, а дома я привык к ляликсу уже за относительно много лет и хотелось как-то одну систему иметь для всех нужд. Но видимо, придется пока дуал-бутиться.

p.s. Ребята, не ссорьтесь 😉

p.p.s. Про OpenVPN почитаю все же, раз так советуют 🙂

У меня работало. Но как я уже сказал — надо тщательно и аккуратно следить за всеми настройками. А раз у ТСа нет возможности покрутить MTU на сервере, куда будет вести вложенный туннель — вряд ли что-то выгорит.

Про OpenVPN почитаю все же, раз так советуют 🙂

Почитай, очень полезно.

Кстати, о смартфонах: в Google Play относительно недавно появились OpenVPN-клиенты, не требующие рутования. Так что, в общем-то, OpenVPN после этого становится вообще мега-универсальным VPNом: работает где, откуда и на чем хочешь; не требует GRE; может быть многократно вложенным в различные VPN-туннели; поддерживается в Mikrotik’ах, что позволяет дешево делать разветвленные VPN-сети, соединяя офисы по всему миру; ключи шифрования до 4-х килобит включительно поддерживаются «из коробки», без дополнительной обработки напильником.

P. S. Единственный минус — Mikrotik’и «не понимают» ключи OpenVPNа, сгенерированные через скрипт easy-rsa. Приходится для них ручками создавать через вызовы openssl.

Источник