Данные через VPN против Интернета?

Question

Я подключаюсь к клиенту VPN через интернет. У меня есть два вопроса о том, как данные проходят через VPN против потока данных через Интернет. Вот они:

1. Я считаю, что разница между передачей данных через VPN или через Интернет заключается в том, что данные защищены в VPN. В случае VPN данные по-прежнему передаются через Интернет, т. My computer > MyISP >Internet Exchange > Client ISP > Client Network но данные зашифрованы и могут быть разблокированы только клиентом. Правильный?

2. Если вышеприведенное верно и данные передаются даже по VPN, почему я не могу получить доступ к Интернету по VPN после установления соединения с клиентской сетью?

Answer 1

VPN означает виртуальную частную сеть. Это позволяет вам получить безопасный доступ к вашей частной сети из общедоступной сети (Интернет).

VPN работает очень похоже на то, что вы описали, за исключением того, что последняя часть обычно называется «VPN-сервером», а не "клиентом".

Чтобы получить доступ к веб-сайту:

Без VPN:

User -> ISP1 -> Internet -> ISP3 -> Website

С VPN:

User (Through VPN client) -> ISP1 -> Internet -> ISP2 -> (VPN Server) -> ISP2 -> Internet -> ISP3 -> Website

Шифрование VPN осуществляется только между пользователем и сервером VPN. Передача данных после VPN-сервера так же безопасна, как и веб-сайт, с которым вы связываетесь.

Так что да, данные между Пользователем и VPN-сервером могут быть расшифрованы только одним из них.

Если ваша настройка это:

User (Through VPN client) -> ISP1 -> Internet -> ISP2 -> (VPN Server)

Это называется соединение между сайтами. (Пример: филиал компании в головной офис).

В зависимости от конфигурации VPN-сервера и таблиц маршрутизации. Вы можете сделать точно так же, как в примере выше, и включить доступ к Интернету.

На самом деле, именно так работают провайдеры VPN.

Пример:

User in China -> ISP (CN) -> Internet -> ISP (DE) -> VPN Server in Germany -> ISP (DE) -> Internet -> ISP (US) -> Facebook

Ваша возможность доступа в Интернет будет зависеть от конфигурации сети вашего VPN-сервера.

Answer 2

Существует два способа настройки Client VPN (ваше подключение к вашему VPN-серверу).

Полный туннель

Сплит туннель

В полном туннеле, когда вы подключаетесь к VPN-серверу, он сообщает вашему клиенту, что весь трафик должен быть зашифрован и по умолчанию направлен через VPN на VPN-сервер.

В этот момент ваш VPN - сервер может запретить прохождение любого трафика от вас, из его сетевого подключения к Интернету.

В разделенном туннеле VPN-сервер предоставляет вашему клиенту только подмножество сетевых маршрутов. Затем ваш клиент просматривает свою локальную таблицу маршрутизации, чтобы увидеть, будет ли трафик, который он собирается отправлять, будет выходить в Интернет без вашей VPN или пойдет ли он в VPN.

VPN-порты Split Tunnel менее безопасны, но быстрее для незашифрованного трафика.

Допустим, вы хотите подключиться к вашему серверу через VPN .. вы хотите RDP к 192.168.15.101 .. но в спешке вы случайно набираете 102.168.15.101 ... Ваш VPN-клиент будет смотреть на маршруты, которые ему были предоставлены .. увидеть, что 102.168.15.101 не в 192.168.15.x, и направлять трафик непосредственно из вашей сетевой карты в Интернет. Если кто-то запускает сниффер или медовый горшок, ваш случайный 102.168 ... может раскрыть ваше имя пользователя, имя вашего компьютера и пароль.

Конфигурации Split Tunnel могут быть быстрее для вас, клиента, по двум причинам. Шифрование трафика требует значительных ресурсов процессора, поэтому, чем меньше шифрование, тем больше ваш процессор может потратить на перемещение трафика.

И, во-вторых, если весь трафик идет в VPN ... он должен идти оттуда, где вы находитесь, к серверу VPN, а затем выходить в Интернет.

Подумайте о желании пойти в магазин ... самый быстрый путь - по прямой от того магазина, где вы находитесь. Помещая все в VPN ... вместо того, чтобы идти прямо в магазин ... вы сначала отправляетесь в почтовое отделение на 5 миль в противоположном направлении, а затем едете в тот же магазин.

Answer 3

Не VPN-трафик может быть упрощен, чтобы показать как:

Браузер> ОС> Интернет> веб-сервер

Выше браузер запрашивает у операционной системы (ОС) вашего компьютера подключение к Интернету, которое, скорее всего, сначала проходит через какой-либо модем / маршрутизатор в вашей собственной сети, а также через серверы вашего интернет-провайдера.

При использовании общедоступного VPN (например, для безопасного использования ненадежных общедоступных сетей WiFi или для обмана веб-сервера, находящегося в другой стране), поток выглядит следующим образом:

Браузер> ОС> шифрование > интернет> поставщик VPN> расшифровка > интернет> веб-сервер

Таким образом, браузер даже не знает, что использует VPN (операционная система об этом позаботится), и поставщик VPN расшифровывает трафик VPN, а затем перенаправляет его на целевой сервер.

При посещении веб-сайта HTTPS трафик шифруется также браузером и веб-сервером. Без VPN:

Браузер> шифрование > ОС> интернет> веб-сервер> расшифровка

При использовании как HTTPS, так и VPN трафик шифруется дважды. В этом случае провайдер VPN может только расшифровать трафик VPN, но не может видеть, что на самом деле передает браузер:

Браузер> шифрование > ОС> шифрование > интернет> поставщик VPN> расшифровка > интернет> веб-сервер> расшифровка

Обратите внимание, что если это частный VPN (например, для подключения к сети компании), то сервер VPN также может разрешать трафик в Интернет:

Браузер> ОС> шифрование> интернет> корпоративная VPN> расшифровка> сеть компании > интернет> веб-сервер

Однако частные VPN часто настраиваются так, чтобы не перенаправлять трафик на какой-либо внешний веб-сайт:

Браузер> ОС> шифрование> интернет> корпоративная VPN> расшифровка> только сеть компании

Чтобы обойти это, клиент VPN на ОС вашего компьютера может позволить для использования VPN только для некоторых из трафика. Как и на компьютере с Windows, отключив такие параметры , как "Использовать шлюз по умолчанию в удаленной сети", ОС будет использовать VPN только для трафика в сеть вашей компании, а для другого трафика просто подключиться к Интернету, как обычно. Хотя это может представлять угрозу безопасности (например, вредоносное ПО на вашем компьютере может одновременно подключаться как к сети компании, так и к любому другому серверу в Интернете!) и не должны быть изменены, если вы действительно понимаете риски.