← Сегментация сети и VLANTLS и HTTPS: шифрование в т… →

VPN: туннели, IPsec и WireGuard

Урок про защищённые туннели: как VPN превращает враждебную сеть в безопасный канал.

VPN (virtual private network) — технология, создающая зашифрованный туннель поверх недоверенной сети, как если бы стороны были в одной приватной сети.

Зачем нужен VPN

Когда трафик идёт через интернет или публичный Wi-Fi, среда передачи недоверенная. VPN оборачивает весь трафик в зашифрованный туннель: даже перехватив пакеты, нарушитель видит только шифртекст. Это решает задачи удалённого доступа к внутренней сети и связи между офисами.

[ Ноутбук ] ===(шифрованный туннель)=== [ VPN-шлюз ] --- внутренняя сеть
      через недоверенный интернет

IPsec и WireGuard

ПараметрIPsecWireGuard
Возрастзрелый стандартсовременный
Сложностьвысокая, много настроекминимальная конфигурация
Кодовая базабольшаямаленькая, легче аудит
Криптографиягибко настраиваетсяфиксированный современный набор

Концепт конфигурации WireGuard

WireGuard описывается короткими конфигами: у каждой стороны свой приватный ключ и список доверенных публичных ключей пиров.

# концептуальный вид настроек пира
interface:
  address: 10.0.0.2/24
  private_key: <свой приватный ключ>
peer:
  public_key: <публичный ключ шлюза>
  endpoint: vpn.example.com:51820
  allowed_ips: 10.0.0.0/24

Как работает под капотом

VPN инкапсулирует исходные пакеты в новый зашифрованный пакет. WireGuard использует современную криптографию (Curve25519, ChaCha20-Poly1305) и принцип «криптографической маршрутизации»: каждый публичный ключ привязан к разрешённым IP. Пакет принимается, только если расшифровывается ключом, которому эти адреса разрешены. IPsec в туннельном режиме шифрует весь исходный IP-пакет и добавляет новый заголовок.

Чего VPN не делает

  • Не заменяет TLS для конечных приложений — туннель защищает участок до шлюза, дальше нужна своя защита.
  • Не делает анонимным: шлюз видит ваш трафик.
  • Не защищает скомпрометированный конечный хост.

Частые ошибки

  • Считать публичный «VPN-сервис» гарантией безопасности — вы лишь меняете, кому доверять.
  • Слабое управление ключами: утёкший приватный ключ открывает туннель.
  • allowed_ips/политики шире, чем нужно — нарушение минимума привилегий.

Итоги

  • VPN создаёт зашифрованный туннель через недоверенную сеть.
  • WireGuard проще и компактнее, IPsec — гибкий зрелый стандарт.
  • VPN — не замена TLS и не анонимайзер; ключи нужно беречь.
Проверьте себя
1. Что обеспечивает VPN при передаче через публичный Wi-Fi?
AУскорение трафика
BЗашифрованный туннель, в котором перехваченные пакеты бесполезны
CПолную анонимность от всех
DЗащиту от вирусов на устройстве
2. Чем WireGuard выгодно отличается от классического IPsec?
AОн не шифрует, зато быстрее
BМаленькая кодовая база и простая конфигурация
CРаботает без ключей
DДелает пользователя анонимным
3. Что VPN НЕ делает?
AНе шифрует туннель
BНе заменяет TLS для приложений и не делает анонимным
CНе работает через интернет
DНе использует ключи