Cztery główne rodzaje VPN

Usługa VPN zdalnego dostępu umożliwia łączenie się z siecią prywatną, na przykład z siecią biurową Twojej firmy przez Internet.

Ponieważ Internet to niezaufane ogniwo komunikacji, stosowane jest szyfrowanie VPN, które pozwala zachować prywatność oraz bezpieczeństwo danych podczas ich przesyłania do i z sieci prywatnej.

Kiedy korzystać z VPN zdalnego dostępu

VPN zdalnego dostępu można używać w różnych sytuacjach, na przykład:

• Osoba podróżująca w interesach może używać VPN-u, aby uzyskać zdalny dostęp do sieci firmowej z Wi-Fi w hotelowym holu. Dzięki temu będzie mieć dostęp do wszystkich plików i oprogramowania, które miałaby w biurze. VPN chroni również dane przed osobami szperającymi w publicznych sieciach Wi-Fi.
• Osoba pracująca z domu może używać zdalnego dostępu VPN, aby uzyskać dostęp do sieci firmowej z domu. Jej komputer działa tak, jakby był podłączony do sieci firmowej w biurze, a dane są chronione podczas przechodzenia przez publiczny Internet.

Jak działa VPN zdalnego dostępu

Aby korzystać z VPN zdalnego dostępu na swoim urządzeniu, musisz zainstalować oprogramowanie lub skonfigurować system operacyjny urządzenia tak, aby łączył się z usługą VPN. Po stronie sieciowej połączenia musi znajdować się również serwer VPN.

Możemy mieć wiele urządzeń klienckich, ponieważ wielu różnych użytkowników może łączyć się z serwerem VPN. Połączeniem VPN między nimi zarządzają oprogramowanie klienckie i serwer VPN.

Oto jak to działa:

1. Najpierw serwer VPN sprawdza, czy użytkownik ma prawo dostępu do sieci. Może to wymagać od użytkownika wprowadzenia hasła lub wykorzystania do identyfikacji danych biometrycznych, takich jak odcisk palca. W niektórych rozwiązaniach do automatycznego uwierzytelniania użytkownika w tle mogą być wykorzystywane certyfikaty bezpieczeństwa, co pozwala na szybsze połączenie. Jest to szczególnie pomocne, gdy użytkownik musi połączyć się z wieloma serwerami VPN – na przykład, aby uzyskać dostęp do sieci w różnych miejscach.
2. Po uwierzytelnieniu użytkownika klient i serwer ustanawiają między sobą szyfrowany tunel. Jest to otoczka szyfrująca, która chroni ruch w Internecie. Istnieje wiele różnych protokołów VPN, których można użyć do utworzenia tunelu szyfrującego: IPsec i SSL to dwa często używane.
3. Użytkownik może teraz uzyskać dostęp do zasobów za pośrednictwem serwera VPN. Umożliwia to dostęp do wewnętrznej sieci firmy i jej plików lub oprogramowania.

Przykłady usług VPN zdalnego dostępu

Przykłady usług VPN zdalnego dostępu dla firm obejmują:

• Access Server firmy OpenVPN, który jest bezpłatny dla maksymalnie dwóch jednoczesnych połączeń VPN.
• AnyConnect firmy Cisco, który integruje się z zabezpieczeniami dla przedsiębiorstw od Cisco.
• Perimeter 81 – bezpieczne rozwiązania VPN nowej generacji.

Osobisty VPN łączy Cię z serwerem VPN, który działa jako pośrednik między Twoim urządzeniem a usługami internetowymi, do których chcesz mieć dostęp.

VPN osobisty – czasem nazywany „konsumenckim” lub „komercyjnym” VPN-em – szyfruje Twoje połączenie, ukrywa Twoją tożsamość w sieci i pozwala Ci zamaskować Twoją lokalizację geograficzną.

 

Osobisty VPN różni się od VPN-u zdalnego dostępu tym, że nie daje Ci dostępu do sieci prywatnej.

Taki VPN umożliwia dostęp do publicznego Internetu, ale za pomocą szyfrowanego połączenia.

Kiedy korzystać z VPN osobistego

Istnieje wiele powodów, dla których warto korzystać z komercyjnego VPN-u. Niektóre z najpopularniejszych to:

• Streaming filmów i programów telewizyjnych niedostępnych w Twojej lokalizacji geograficznej. Na przykład, możesz połączyć się z serwerem VPN w Stanach Zjednoczonych i uzyskać dostęp do amerykańskiej wersji Netflixa, która oferuje jedną z największych bibliotek platformy.
• Omijanie cenzury i inwigilacji w państwach autorytarnych, takich jak Chiny czy Zjednoczone Emiraty Arabskie. VPN daje dostęp do treści, które są blokowane przez krajowe zapory sieciowe, i ukrywa ruch internetowy przed państwowymi systemami nadzoru.
• Ochrona Twojej prywatności w sieci poprzez uniemożliwienie Twojemu dostawcy usług internetowych, rządom, hakerom i innym osobom szpiegowania Twojej aktywności. Dostawcy usług internetowych czasami ograniczają (lub spowalniają) Twoje połączenie, jeśli widzą, że grasz lub oglądasz filmy przez Internet. Korzystanie z VPN uniemożliwia im zdobycie informacji o tym, co robisz w sieci, i chroni przed szpiegowaniem osób szpiegujących Twój telefon.

Aby uzyskać bardziej szczegółową listę, sprawdź nasz przewodnik wyjaśniający, do czego służą usługi VPN.

Jak działa VPN osobisty

Oto jak to działa:

1. Zainstaluj na swoim urządzeniu oprogramowanie od dostawcy usług VPN. Aplikacje VPN do użytku osobistego są dostępne na wszelkiego rodzaju urządzeniach, w tym na smartfonach. Możesz też zainstalować oprogramowanie VPN na routerze, aby chronić wszystkie urządzenia, które się z nim łączą.
2. Połącz się z serwerem w sieci swojego dostawcy VPN. VPN-y komercyjne mają zwykle duże sieci serwerów do wyboru. Jeśli chcesz tylko chronić swoją prywatność, połącz się z lokalnym serwerem, aby uzyskać największą prędkość. Jeżeli chcesz odblokować streaming treści, wybierz serwer w kraju, w którym dane treści są dostępne.
3. Przeglądaj Internet jak zwykle. Podczas połączenia z siecią VPN cały Twój ruch w Internecie przechodzi przez serwer dostawcy usługi. Twoje połączenie jest szyfrowane, Twój adres IP ukryty, a Ty możesz uzyskać dostęp do zablokowanych wcześniej treści z innych krajów.

Przykłady osobistych usług VPN

Od 2016 roku przetestowaliśmy setki komercyjnych usług VPN. Obecnie nasze najwyżej oceniane VPN-y to:

1. ExpressVPN
2. NordVPN
3. Private Internet Access
4. Surfshark
5. IPVanish

Choć VPN zdalnego dostępu umożliwia łączenie się z siecią lokalną z dowolnego miejsca, zakłada, że użytkownik w nim pozostanie. Jeśli się rozłączysz, tunel IP zostanie zamknięty.

VPN na urządzenia mobilne to lepsze rozwiązanie niż VPN zdalnego dostępu, kiedy stabilne połączenie w tej samej sieci przez całą sesję jest mało prawdopodobne.

Dzięki usłudze VPN na urządzenia mobilne połączenie VPN jest utrzymywane nawet wtedy, gdy użytkownik zmieni sieć Wi-Fi lub komórkową, straci łączność bądź wyłączy na chwilę swoje urządzenie.

Kiedy korzystać z usługi VPN na urządzenia mobilne

Usługi VPN na urządzenia mobilne są zazwyczaj używane, by zapewnić stałą dostępność dla pracowników mobilnych lub dla wygody posiadania sieci VPN, która toleruje zmiany połączeń. Na przykład:

• Strażacy i policjanci mogą korzystać z usługi VPN na urządzenia mobilne, aby pozostać w kontakcie z takimi aplikacjami, jak bazy danych rejestracji pojazdów, automatyczna lokalizacja pojazdów i komputerowo wspomagana dyspozytornia, nawet będąc w trasie.
• Specjaliści pracujący z domu w obszarze o słabym zasięgu mogą korzystać z usługi VPN na urządzenia mobilne, aby utrzymać dostęp VPN do biura przez cały dzień, nawet w przypadku utraty połączenia.

Jak działa VPN na urządzenia mobilne:

Oto jak to działa:

1. Użytkownik łączy się z usługą VPN i zostaje uwierzytelniony. Opcje uwierzytelniania mogą obejmować hasła, tokeny fizyczne, takie jak inteligentne karty lub urządzenia biometryczne, np. skanery linii papilarnych. W niektórych przypadkach można użyć certyfikatów, aby uwierzytelnianie odbywało się automatycznie w tle.
2. Między urządzeniem użytkownika a serwerem tworzony jest tunel VPN. W usłudze VPN zdalnego dostępu tunel VPN łączy się z fizycznym adresem IP urządzenia, który jest związany z jego połączeniem internetowym. W usłudze VPN na urządzenia mobilne tunel VPN łączy się z logicznym adresem IP związanym z urządzeniem, a więc niezależnym od połączenia internetowego.
3. Połączenie VPN jest utrzymywane, gdy użytkownik przełącza się między różnymi sieciami. Jeśli użytkownik jest w ruchu, może przełączać się między sieciami (na przykład między sieciami komórkowymi lub Wi-Fi). Choć jego fizyczny adres IP może ulec zmianie, logiczny adres IP używany przez tunel VPN pozostanie taki sam. Wirtualne połączenie sieciowe pozostaje nienaruszone, w związku z czym użytkownik może kontynuować pracę bez zakłóceń, dopóki ma jakiekolwiek połączenie. Jeżeli urządzenie zostanie wyłączone, by oszczędzić baterię, połączenie VPN będzie nadal dostępne po jego ponownym włączeniu.

Przykłady usług VPN na urządzenia mobilne

Przykłady usług VPN na urządzenia mobilne to:

• Bittium SafeMove Mobile VPN: automatycznie łączy użytkowników i zapewnia bezproblemowy roaming.
• Oprogramowanie Radio IP: umożliwia korzystanie z VPN-ów na urządzenia mobilne we wszystkich technologiach sieci bezprzewodowych.

Podczas gdy usługa VPN zdalnego dostępu została zaprojektowana tak, by umożliwić pojedynczym użytkownikom łączenie się z siecią i korzystanie z jej zasobów, usługa VPN typu site-to-site łączy dwie sieci znajdujące się w różnych miejscach.

Na przykład, jeśli firma ma dwa biura na wschodnim i zachodnim wybrzeżu, może użyć VPN-u site-to-site, aby połączyć je w jedną sieć.

Do wdrożenia usługi VPN typu site-to-site można użyć różnych technologii, takich jak IPsec, Dynamic MultiPoint VPN (DMVPN) i L3VPN.

Kiedy korzystać z VPN typu site-to-site

W zależności od tego, kto jest właścicielem łączonych sieci, istnieją dwie różne formy usługi VPN site-to-site:

• VPN oparty na sieci intranet: jeśli łączone sieci należą do jednej firmy, połączona sieć VPN jest nazywana VPN-em opartym na sieci intranet. Dzięki temu firma może utworzyć jedną sieć rozległą (WAN) obejmującą dwa lub więcej biur. Użytkownicy w firmie będą mieć dostęp do zasobów z innych, zdalnych lokalizacji tak łatwo, jakby znajdowali się w siedzibie firmy.
• VPN oparty na sieci ekstranet: kiedy łączone sieci należą do różnych firm, połączona sieć VPN jest nazywana VPN-em opartym na sieci ekstranet. Ekstranetowy VPN jest używany na przykład, gdy firma chce połączyć się z siecią swojego dostawcy, aby móc prowadzić bardziej efektywną wymianę handlową.

Jak działa VPN typu site-to-site

Istnieją trzy główne sposoby wdrożenia usługi VPN typu site-to-site:

1. Za pomocą tunelu IPsec
2. Za pomocą Dynamic MultiPoint VPN (DMVPN)
3. Za pomocą Layer 3 VPN (L3VPN)

Tunel IPsec

Tunelu IPsec można używać do łączenia stron, podobnie jak VPN-u zdalnego dostępu do łączenia osób z siecią prywatną.

W tym przypadku jednak usługa VPN jest realizowana przez routery w dwóch lub większej liczbie miejsc, które się ze sobą łączą. Z tego powodu czasami nazywa się ją także VPN-em typu router-to-router.

Podczas gdy VPN zdalnego dostępu tworzy tunel umożliwiający jednemu urządzeniu połączenie z siecią prywatną, w przypadku VPN-u typu site-to-site tunel IPsec szyfruje ruch między połączonymi sieciami. Może to przyjąć dwie formy:

1. Tunel IPsec oparty na trasie pozwala na przepływ dowolnego ruchu między sieciami – to tak, jakby połączyć sieci razem.
2. Tunel IPsec oparty na zasadach określa reguły, które decydują o tym, jaki ruch jest dozwolony i które sieci IP mogą rozmawiać z którymi sieciami IP.

Tunele IPsec można tworzyć za pomocą większości zapór sieciowych i routerów.

Dynamic MultiPoint VPN (DMVPN)

Problem z tunelami IPsec polega na tym, że IPsec łączy ze sobą dwa punkty. Na przykład w sieci typu site-to-site można użyć IPsec do połączenia ze sobą dwóch routerów.

Nie sprawdza się to jednak w dużych firmach z tysiącami placówek, gdzie trzeba nawiązać tysiące połączeń.

Rozwiązaniem jest technologia Dynamic MultiPoint VPN (DMVPN) firmy Cisco, która umożliwia podłączenie się do routera koncentrującego DMVPN za pomocą dynamicznych adresów IP.

Architektura sieci jest oparta na modelu hub-and-spoke, który odzwierciedla fakt, że większość ruchu odbywa się między oddziałami (szprychami – spokes) a główną lokalizacją (piastą – hub), a nie między jednym oddziałem a drugim.

Mimo to oddziały nadal mogą łączyć się ze sobą za pomocą sieci DMVPN. Wymaga to jedynie odrobinę dodatkowej konfiguracji.

VPN 3 warstwy (L3VPN) oparty na MPLS

Zarówno IPsec, jak i DMVPN działają nad warstwą Internetu, co oznacza, że nie mogą zaoferować stałej lub gwarantowanej wydajności.

W przeciwieństwie do nich sieci VPN Multi-Protocol Label Switched (MPLS) oparte na trzeciej warstwie mogą zapewnić gwarantowaną jakość usług i globalną łączność. Dzieje się tak, ponieważ MPLS to sposób trasowania pakietów w sieci przez dowolne medium transportowe (takie jak światłowód, satelita czy mikrofale) i dowolny protokół.

Dlatego dostawcy usług mogą używać MPLS do tworzenia sieci VPN trzeciej warstwy. Trzecia warstwa odnosi się do modelu sieciowego OSI, który wykorzystuje wiele warstw do wyjaśnienia, w jaki sposób komunikacja jest przekształcana między sygnałami elektrycznymi, radiowymi lub optycznymi w dane aplikacji. Trzecia warstwa oznacza, że VPN jest tworzony w tak zwanej „warstwie sieciowej”.

Niektóre duże firmy konfigurują sieci MPLS VPN we własnym zakresie, ale zazwyczaj są one tworzone przez dostawców usług komunikacyjnych.

Dostawca może utworzyć dla każdego klienta osobną sieć wirtualną, którą sprzedaje jako sieć rozległą (WAN). Sieci wirtualne są od siebie odizolowane, chociaż mogą korzystać z tych samych fizycznych zasobów sieciowych.

Jeśli kupujesz usługę WAN od dostawcy usług komunikacyjnych, może on używać sieci MPLS L3VPN, o czym nie musisz wiedzieć.

Dzięki sieci MPLS VPN można nadać priorytet niektórym rodzajom ruchu, takim jak ruch głosowy, aby zapewnić lepszą jakość usług. Można również precyzyjnie kontrolować trasę przez sieć, aby zapewnić stałą i dobrze zoptymalizowaną wydajność.

Prywatne usługi WAN są drogie, dlatego firmy coraz częściej rezygnują z MPLS na rzecz tańszych usług VPN opartych na Internecie. Wyjątkiem są sytuacje, w których opóźnienia mają krytyczne znaczenie – na przykład w aplikacjach wykrywających usterki i przerwy w działaniu sieci energetycznej.

Przykłady usług VPN typu site-to-site

Przykłady różnych rodzajów usług VPN typu site-to-site to:

• Acccess Server firmy OpenVPN można wykorzystać do utworzenia sieci VPN typu site-to-site.
• Dynamic Multi Point VPN (DMVPN) firmy Cisco opisano bardziej szczegółowo tutaj.
• Nokia udostępnia instrukcje dotyczące konfiguracji usługi VPRN (L3VPN).