Как работает VPN? Каковы преимущества его использования для домашнего сервера, кроме возможности более простого подключения к устройствам домашней сети без открытия портов?

Я считаю себя достаточно технически грамотным, так что не стесняйтесь давать более глубокий ответ; но я запутался, как на самом деле работают VPN. Я знаю, что они делают – маршрутизируют трафик всех ваших устройств обратно в домашнюю сеть, а затем оттуда в интернет так, как будто трафик исходил из домашней сети, – но я даже не вижу, как это вообще возможно, если я подключен к маршрутизатору в каком-то отеле или у друга.

Если я подключен к сети вне моего дома, я должен использовать их шлюз, чтобы отправлять пакеты в свою VPN-сеть, правильно? Мне любопытно, как VPN защищает меня, когда первый маршрут пакета должен быть:

Мое устройство → Сеть другого человека → Интернет → Мой VPN-сервер → Снова в интернет

Первые несколько переходов, похоже, необходимы для достижения VPN и по своей природе небезопасны. Я знаю, что трафик может быть зашифрован, но разве это не зависит от моего устройства, чтобы зашифровать все равно? Так что VPN на самом деле ничего не шифрует.

Может кто-то объяснить мне более подробно, как именно мое устройство подключается к моему VPN дома и как это помогает? Мне кажется, что это не предлагает никакой безопасности, и единственное реальное преимущество – это сделать устройства, которые были бы доступны в моей домашней сети – но не выставлены в интернет – снова доступными через VPN-сервер.

Ваше устройство отправляет зашифрованные данные для приложений, которые действительно поддерживают и запрашивают шифрование из более низких слоев (например, HTTP (Уровень 7), зашифрованный с помощью SSL/TLS (Уровень 7), отправляется дальше.) Вам на самом деле не требуется прокси для простого веб-серфинга, поскольку большинство сайтов сегодня поддерживают HTTPS, так как все данные между сервером и вашим устройством уже зашифрованы. То же самое верно для большинства приложений, начиная от WhatsApp до Spotify.

Где VPN имеет значение:

1. Когда ваш трафик состоит из незашифрованных данных, которые могут быть прочитаны кем угодно в транзитной сети (VoIP, IoT-устройства, другие веб-приложения, которые вы запускаете локально.)
2. Вам нужно получить доступ к службе из удаленного места, и выставление ее в интернет рискованно (читайте, глупо): Active Directory, хаб IoT-устройств, веб-приложения с собственным хостингом, VoIP-серверы и т.д. Чтобы эти службы были доступны извне, вам нужно открыть порты, что все равно что добавлять больше дверей к вашему дому: теперь вам нужно беспокоиться о безопасности этой двери, и это только вопрос времени, пока кто-то достаточно сильный {умный} не проникнет внутрь.
3. Вам нужно получать доступ к контенту, который заблокирован по геолокации, или недоступен в общественных/офисных сетях.

VPN создают виртуальный туннель (зашифрованный/незашифрованный - в зависимости от используемого вами VPN-протокола), чтобы перенести ваше удаленное устройство в сегмент локальной сети сети, к которой вы получаете доступ.
Вы можете продолжить и добавить правило для маршрутизации всего интернет-трафика через удаленный шлюз локальной сети, но это не то, для чего VPN изначально предназначены.

VPN крайне необходимы для корпоративных бизнесов, которые часто хостят множество локальных служб, которые должны быть доступны удаленным сотрудникам, и которые не должны быть напрямую выставлены в интернет.

Сценарий использования, который вы описываете, на самом деле выглядит так:

Ваше устройство > Виртуальный интерфейс, созданный VPN > Инкапсуляция (+ Шифрование) > Отправить по публичному интернету > Домашний маршрутизатор > Передает пакет в сегмент локальной сети > Шлюз локальной сети > Домашний маршрутизатор > Интернет

Однако интернет не является неотъемлемой частью VPN, как вы можете видеть из моей настройки:

Мой телефон > Wireguard VPN (только для 10.1.1.0/27) > Домашняя сеть
Приложения, работающие через Wireguard:
PortSIP SIP клиент >> На FreePBX сервер у меня дома
NextCloud Sync >> Nextcloud сервер
Mozilla >> Система управления клиникой / Система контактов пациентов

Обычный веб-трафик маршрутизируется через мои мобильные данные / общедоступный WiFi, как обычно.

VPN используются при доступе к публичному Wi-Fi, потому что даже после применения лучших мер безопасности и шифрования вы все еще можете быть взломаны различными уязвимостями, не говоря уже о прослушивателях незашифрованного трафика.

1. ваше локальное устройство шифрует, т. е. с openvpn или wireguard, по сути создавая другое сетевое устройство поверх вашего физического устройства и сбрасывая пакеты в него. ваш удаленный конечный пункт VPN расшифровывает, устройства между ними видят только зашифрованный трафик.
2. распространенные проблемы скорее связаны с перекрытием маршрутов, т. е. ваша домашняя сеть находится на чем-то вроде 192.168.1.0/24, и это также ваша текущая удаленная локация.

сначала идет целый процесс рукопожатия, прежде чем вы устанавливаете соединение, что позволяет VPN быть безопасным – это что-то вроде того, как https безопасен, а http нет. Главная идея здесь в том, что через это рукопожатие вы устанавливаете зашифрованное соединение между вашим ноутбуком и вашим домашним сервером, что позволяет всем пакетам, проходящим через этот туннель, быть зашифрованными, и никто в вашей сети не сможет видеть то, что проходит через него.

Я бы предложил вам немного почитать о SSL и TLS, в интернете много отличной литературы об этом от людей, которые знают об этом гораздо больше, чем я.

Он создает “виртуальный Ethernet-кабель” между вашим устройством. И все данные, которые проходят по нему, зашифрованы.

Я знаю, что они делают – маршрутизируют трафик всех ваших устройств обратно в домашнюю сеть

Нет. Это всего лишь одна из вещей, которые они могут делать.

VPN туннелирует сетевой трафик через другую потенциально ненадежную сеть. Трафик в туннеле обычно зашифрован, и, следовательно, не может быть просмотрен извне, когда он проходит через инкапсулирующую сеть. Вот и все. Это все, что есть.

Какие пакеты куда идут, полностью зависит от создателя сети, частью которой может быть VPN.

VPN могут использоваться для сокрытия вашего местоположения в интернете от сайтов, которые вы посещаете, или могут просто использоваться для того, чтобы позволить вам печатать счета на вашем офисном принтере, когда вы находитесь в поездке по продажам.

Что вы делаете со своим VPN, полностью зависит от вас.

ваша домашняя сеть находится на чем-то вроде 192.168.1.0/24, и это также ваша текущая удаленная локация.

Что может быть решено раз и навсегда с использованием IPV6 ULA (на основе случайного префикса, чтобы сделать его уникальным).

Для любопытных, #1 достигается с помощью интерфейсов tun Tun/Tap interface tutorial « \1