Как работает VPN? Каковы преимущества его использования для домашнего сервера, кроме возможности более легкого подключения к устройствам домашней сети без открытия портов?

Я считаю себя довольно технически грамотным, так что не стесняйтесь давать ответ не по принципу «как для пятилетнего». Но мне непонятно, как именно работают VPN. Я знаю, что они делают - перенаправляют весь трафик ваших устройств обратно в домашнюю сеть, и затем он идет оттуда в интернет так, как будто трафик изначально исходил из домашней сети. Но я даже не понимаю, как это вообще возможно, если я подключен к роутеру в каком-то отеле или у друга.

Если я подключен к сети вне моего дома, мне нужно использовать их шлюз, чтобы отправлять пакеты в мою VPN-сеть, верно? Так что мне интересно, как VPN защищает меня, когда первый маршрут пакетов выглядит так:

Мое устройство → Сеть другого человека → Интернет → Мой VPN-сервер → Обратно в интернет

Первые несколько переходов кажутся необходимыми для достижения VPN и по своей природе не безопасными. Я знаю, что трафик можно шифровать, но разве это не задача моего устройства шифровать его? Так что VPN на самом деле ничего не шифрует.

Может кто-то подробнее объяснить, как именно мое устройство подключается к VPN у меня дома и как это помогает? Для меня кажется, что это не предоставляет никакой безопасности, а единственное реальное преимущество - это сделать доступными устройства, которые были бы доступны в моей домашней сети, но не подвержены воздействию интернета, через VPN-сервер.

Ваше устройство отправляет зашифрованные данные для приложений, которые на самом деле поддерживают и запрашивают шифрование на нижних уровнях (например, HTTP (Уровень 7), зашифрованный с помощью SSL/TLS (Уровень 7), отправляется далее). Вам на самом деле не требуется прокси для простого веб-серфинга, так как большинство сайтов сегодня поддерживают HTTPS, поскольку все данные между сервером и вашим устройством уже зашифрованы. То же самое касается большинства приложений, от WhatsApp до Spotify.

VPN становится важным в следующих случаях:

1. Когда ваш трафик состоит из незашифрованных данных, которые могут быть прочитаны кем угодно в сети (VoIP, Устройства IOT, другие веб-приложения, которые вы запускаете локально).
2. Вам нужно получить доступ к сервису из удаленного места, открытие которого в интернет рискованно (можно сказать, глупо): Active Directory, Хаб Устройств IOT, Самостоятельно размещенные веб-приложения, VoIP-серверы и т.д. Чтобы эти сервисы были доступны извне, вам нужно открывать порты, что то же самое, что добавлять больше дверей в ваш дом: теперь вам придется беспокоиться о безопасности этой двери, и это всего лишь вопрос времени, прежде чем кто-то достаточно сильный {умный} войдет.
3. Вам нужно получить доступ к контенту, который заблокирован по географическому признаку или недоступен в публичных/офисных сетях.

VPN создает виртуальный туннель (зашифрованный/незашифрованный - в зависимости от используемого протокола VPN), чтобы ввести ваше удаленное устройство в сегмент LAN сети, к которой вы получаете доступ.
Вы можете добавить правило для маршрутизации всего интернет-трафика через удаленный шлюз LAN, но это не то, для чего изначально предназначены VPN.

VPN крайне необходимы для корпоративных предприятий, которые часто размещают множество локальных услуг, которые должны быть доступны удаленным сотрудникам и которые не должны быть напрямую открыты интернету.

Случай, который вы описываете, на самом деле выглядит так:

Ваше устройство > Виртуальный интерфейс, созданный VPN > Инкапсуляция (+ Шифрование) > Отправка по общественному интернету > Домашний маршрутизатор > Пакет упадет на сегмент LAN > Шлюз LAN > Домашний маршрутизатор > Интернет

Однако интернет не является неотъемлемой частью VPN, как вы можете видеть из моей настройки:

Мой телефон > Wiregaurd VPN (только для 10.1.1.0/27) > Домашняя сеть
Приложения, работающие через Wiregaurd:
PortSIP SIP-клиент >> На сервер FreePBX у меня дома
NextCloud Sync >> Сервер Nextcloud
Mozilla >> Система управления клиникой / Система контактов пациентов

Обычный веб-трафик идет через мои мобильные данные / общественный WiFi, как обычно.

VPN используются при доступе к общественному WiFi очень часто, потому что даже после лучших мер безопасности и шифрования вы все равно можете стать жертвой различных взломов, не говоря уже о шифровании трафика.

1. Ваше локальное устройство шифрует, т.е. с помощью openvpn или wireguard, по сути создавая другое сетевое устройство поверх вашего физического устройства и помещая пакеты в него. Ваш удаленный конечный пункт VPN расшифровывает, устройства между ними видят только зашифрованный трафик.
2. Общие проблемы скорее относятся к маршрутизации, т.е. ваша домашняя сеть на чем-то вроде 192.168.1.0/24, и так же ваш текущий удаленный адрес.

Существует целый процесс рукопожатия, который происходит перед установлением соединения, который позволяет VPN быть безопасным - это похоже на то, как https безопасен, а http нет. Основной момент здесь в том, что через это рукопожатие вы устанавливаете зашифрованное соединение между вашим ноутбуком и вашим домашним сервером, которое позволяет всем пакетам, проходящим через этот туннель, быть зашифрованными, и никто в вашей сети не сможет увидеть, что проходит через него.

Я бы порекомендовал вам немного почитать о SSL и TLS, есть много отличной литературы в интернете от людей, которые гораздо больше знают об этом, чем я.

Он создает “виртуальный ethernet-кабель” между вашим устройством. И все данные, которые проходят через него, зашифрованы.

Я знаю, что они делают - перенаправляют весь трафик ваших устройств обратно в домашнюю сеть.

Нет. Это лишь одна из вещей, которые они могут делать.

VPN создает туннель сетевого трафика через другую потенциально ненадежную сеть. Трафик в туннеле обычно зашифрован, и, следовательно, не может быть видимо извне, когда он проходит через инкапсулирующую сеть. Вот и все. Вот что это такое.

Куда идут пакеты, зависит исключительно от создателя сети, частью которой может быть VPN, как большой, так и малый.

VPN может использоваться, чтобы скрыть ваше местоположение в интернете от сайтов, к которым вы обращаетесь, или просто для того, чтобы позволить вам распечатать счета на вашем офисном принтере, когда вы находитесь в поездках по продажам.

Что вы делаете со своим VPN, полностью зависит от вас.

ваша домашняя сеть на чем-то вроде 192.168.1.0/24, и так же ваш текущий удаленный адрес.

Что можно решить раз и навсегда с помощью IPV6 ULA (на основе случайного префикса, чтобы сделать его уникальным).

Для интересующихся, пункт #1 достигается с помощью туннельных интерфейсов Tun/Tap interface tutorial « \1