Как работает VPN на самом деле? Какие преимущества он дает для домашнего сервера, кроме упрощения подключения к вашим устройствам домашней сети без открытия портов?

Я считаю себя достаточно технически подкованным, так что не стесняйтесь давать ответ более сложный, чем на уровне “объясните как пятилетнему”; но меня смущает, как работают VPN. Я знаю, что они делают - перенаправляют весь трафик ваших устройств обратно в домашнюю сеть, а затем он идет в интернет так, как будто трафик изначально исходил из домашней сети - но я даже не понимаю, как это возможно, если я подключен к маршрутизатору в каком-то отеле или у друга.

Если я подключен к сети вне моего дома, мне нужно использовать их шлюз для отправки пакетов в мою VPN-сеть, правильно? Мне интересно, как VPN защищает меня, когда первый маршрут пакетов проходит:

Устройство → Сеть другого человека → Интернет → Мой VPN-сервер → Снова в интернет

Первые несколько прыжков, похоже, необходимы для достижения VPN и по своей природе не безопасны. Я знаю, что трафик может быть зашифрован, но разве это не зависит от моего устройства зашифровать его в любом случае? Так что VPN на самом деле не делает никакого шифрования.

Может кто-то объяснить мне подробнее, как именно моё устройство подключается к моему VPN дома и как это помогает? Для меня кажется, что это не предлагает никакой безопасности, и единственное реальное преимущество - это доступ к устройствам, которые были доступны в моей домашней сети - но не были выставлены в интернет - снова через VPN-сервер.

Ваше устройство отправляет зашифрованные данные для приложения, которое на самом деле поддерживает и запрашивает шифрование от нижележащих уровней (например, HTTP (уровень 7), зашифрованный с помощью SSL/TLS (уровень 7), передаются дальше по линии.) Вам на самом деле не требуется прокси для простого веб-серфинга, поскольку большинство современных веб-сайтов поддерживают HTTPS, а все данные между сервером и вашим устройством уже зашифрованы. То же самое верно для большинства приложений, начиная от WhatsApp и заканчивая Spotify.

Где VPN становится важным:

1. Когда ваш трафик состоит из незашифрованных данных, которые могут быть прочитаны кем угодно в транзитной сети (VoIP, Устройства IOT, другие веб-приложения, которые вы запускаете локально.)
2. Вам нужно получить доступ к сервису из удаленного места, выставление которого в интернет рискованно (читайте глупо): Active Directory, Хаб Устройств IOT, Самостоятельно размещенные веб-приложения, VoIP-серверы и т.д. Чтобы эти сервисы были доступны извне, нужно открывать порты, что равноценно добавлению дополнительных дверей в ваш дом: теперь нужно заботиться о безопасности этой двери, и это лишь вопрос времени, прежде чем кто-то достаточно сильный {умный} сломается.
3. Вам нужно получить доступ к контенту, который геоблокирован или недоступен в публичных/офисных сетях.

VPN создают виртуальный туннель (защищенный/незащищенный - в зависимости от того, какой протокол VPN вы используете), чтобы перенести ваше удаленное устройство в сегмент LAN сети, к которой вы получаете доступ.
Вы можете добавить правило, чтобы перенаправлять весь интернет-трафик через шлюз удаленной LAN, но это не то, для чего изначально создавались VPN.

VPN крайне необходимы для корпоративного бизнеса, который часто хостит множество локальных сервисов, которые нужно делать доступными для удаленных сотрудников и которые не должны быть напрямую выставлены в интернет.

Сценарий использования, который вы описываете, на самом деле выглядит так:

Ваше устройство > Виртуальный интерфейс, созданный VPN > Инкапсуляция (+ Шифрование) > Отправка через публичный интернет > Домашний маршрутизатор > Пакеты попадают в сегмент LAN > Шлюз LAN > Домашний маршрутизатор > Интернет

Тем не менее интернет не является неотъемлемой частью VPN, как вы можете видеть из моей настройки:

Мой телефон > Wireguard VPN (только для 10.1.1.0/27) > Домашняя сеть
Приложения, работающие через Wireguard:
PortSIP SIP клиент >> На FreePBX сервер у меня дома
NextCloud Sync >> Сервер Nextcloud
Mozilla >> Система управления клиникой / Система контактов пациентов

Обычный веб-трафик перенаправляется через мои мобильные данные / публичный WiFi как обычно.

1. Ваше локальное устройство шифрует, т. е. с помощью OpenVPN или Wireguard, фактически создавая другое сетевое устройство поверх вашего физического устройства и отправляя пакеты в это устройство. Ваш удаленный VPN-узел расшифровывает, устройства между ними видят только зашифрованный трафик.
2. Общие проблемы скорее связаны с перекрытием маршрутизации, т.е. ваша домашняя сеть находится на чем-то вроде 192.168.1.0/24, и это также касается вашего текущего удаленного местоположения.

Существует целый процесс рукопожатия, который происходит перед установлением соединения, что позволяет VPN быть безопасными - это как HTTPS безопасен, а HTTP нет. Основная мысль здесь в том, что через это рукопожатие вы устанавливаете зашифрованное соединение между вашим ноутбуком и вашим домашним сервером, что позволяет всем пакетам, проходящим через этот туннель, быть зашифрованными, и никто в вашей сети не сможет видеть, что проходит через него.

Я бы посоветовал почитать чуть-чуть о SSL и TLS, в интернете есть много отличной литературы на эту тему от людей, которые знают гораздо больше, чем я.

Это создает «виртуальный Ethernet-кабель» между вашим устройством. И все данные, которые проходят через него, зашифрованы.

Я знаю, что они делают - перенаправляют весь трафик ваших устройств обратно в домашнюю сеть

Нет. Это всего лишь одна из функций, которые они могут выполнять.

VPN туннелируют сетевой трафик через другую потенциально ненадежную сеть. Трафик в туннеле обычно зашифрован, и его нельзя просмотреть извне, когда он проходит через инкапсулирующую сеть. Вот и все. Вот в чем суть.

Какие пакеты куда идут, полностью зависит от создателя сети, частью которой может быть VPN.

VPN могут использоваться для скрытия вашего местоположения в интернете от сайтов, которые вы посещаете, или они могут использоваться просто для того, чтобы вы могли печатать счета на принтере в офисе, когда вы находитесь в дороге на продажах.

Что вы делаете со своим VPN, полностью зависит от вас.

ваша домашняя сеть находится на чем-то вроде 192.168.1.0/24, и это также касается вашего текущего удаленного местоположения.

Что можно решить раз и навсегда с помощью IPV6 ULA (основанного на случайном префиксе для уникальности).

Для любопытных, #1 достигается с помощью tun интерфейсов Tun/Tap interface tutorial « \1