В этом руководстве я расскажу, что такое VPN Passthrough и как это устройство функционирует.
Читайте ниже, чтобы узнать больше о том, как работает VPN Passthrough.
Используйте навигационное меню справа (на десктопе) или внизу (на мобильном), чтобы быстро перейти к нужным разделам.
Роутеры бывают двух основных типов: те, которые изначально поддерживают VPN-соединение, и те, которые этого не делают.
Роутеры, которые изначально поддерживают VPN, работают с технологиями типа IPsec (Internet Protocol Security), PPTP (Point-to-Point Tunneling Protocol) или L2TP (Layer Two Tunneling Protocol).
Этот роутер можно настроить как VPN-сервер или создать межсетевой VPN-туннель с другим VPN-шлюзом.
Некоторые роутеры не предназначены для использования в качестве VPN-серверов. Они изначально не поддерживают такие технологии и блокируют VPN-трафик. Чтобы обойти это ограничение, приходится изворачиваться.
А вот тут-то и пригождается функция VPN Passthrough. Когда она активирована, трафик от VPN-клиента проходит через интернет и достигает VPN-шлюза.
Эта функция доступна на многих домашних роутерах, и те, на которых она есть, считаются стандартом, потому что поддерживают как PPTP, так и IPsec VPN.
Другими словами, эта функция позволяет компьютерам в частной сети устанавливать исходящие VPN-соединения. При этом она никак не мешает или не нарушает правильную работу входящих VPN-соединений.
Название функции говорит само за себя: она позволяет VPN-трафику «проходить» через роутер. И для этого не нужно открывать никакие порты. Весь процесс происходит автоматически.
Эта функция преимущественно присутствует в интернет-шлюзах для малого бизнеса и потребительских VPN-роутерах. Эти устройства работают с VPN-протоколами типа IPsec, PPTP, L2TP или даже SSL (Secure Sockets Layer) VPN.
Это значит, что они могут подключаться к центральному серверу или VPN-шлюзу без VPN-клиента. Такой клиент несовместим с таким роутером, и пытаться совмещать их — это просто потеря времени.
Устройства для сетей малого бизнеса, поддерживающие функцию VPN Passthrough, позволят пакетам данных от VPN-клиента шифроваться VPN-технологией и выходить в интернет.
Эта функция преимущественно присутствует в интернет-шлюзах для малого бизнеса и потребительских VPN-роутерах. Эти устройства работают с VPN-протоколами типа IPsec, PPTP, L2TP или даже SSL (Secure Sockets Layer) VPN.
Это значит, что они могут подключаться к центральному серверу или VPN-шлюзу без VPN-клиента. Такой клиент несовместим с таким роутером, и пытаться совмещать их — это просто потеря времени.
Устройства для сетей малого бизнеса, поддерживающие функцию VPN Passthrough, позволят пакетам данных от VPN-клиента шифроваться VPN-технологией и выходить в интернет.
Зачем нужен VPN Passthrough?
Большинство роутеров на рынке идут с встроенным VPN Passthrough. Он нужен для работы с VPN, использующими протоколы IPsec или PPTP.
Однако замена этих протоколов более быстрыми и безопасными, например, OpenVPN и IKEv2/IPsec, сделала эту функцию избыточной.
VPN-протоколы изначально несовместимы с технологиями NAT (Network Address Translation) и PAT (Port Address Translation).
Эта несовместимость становится проблемой, если вы используете сетевые устройства на основе этих технологий для совместного использования одного интернет-соединения несколькими компьютерами.
В этом сценарии есть два возможных решения: PPTP passthrough или IPsec passthrough.
Большинство роутеров подключаются к интернету, используя протокол NAT, несовместимый с PPTP. PPTP passthrough обходит эту проблему, позволяя VPN-соединениям проходить на фоне NAT. Но для работы NAT требуется использование портов.
PPTP использует канал TCP (Transmission Control Protocol) на порту 1723 для управления и протокол GRE (Generic Routing Encapsulation) для сбора данных и создания VPN-туннеля, что происходит без использования портов.
Родной GRE в PPTP не требует портов для установления VPN-туннеля. Поскольку NAT требует действительного IP-адреса и номера порта, возникает конфликт.
Функция PPTP passthrough работает, перенастраивая функцию GRE и улучшая некоторые из её сервисов. Самое главное, она добавляет идентификатор вызова.
Когда клиент PPTP подключается к серверу, он создает уникальный идентификатор вызова, который вставляет в измененный заголовок. Этот идентификатор затем доступен в качестве замены для портов в NAT-трансляции.
Идентификаторы вызовов широко используются в отображении портов PPTP для уникальной идентификации клиентов PPTP, использующих NAT.
Она изначально должна действовать как замена только для трафика PPTP, но это нестандартная процедура, которую роутер автоматически не распознает.
Функция PPTP passthrough позволяет PPTP проходить через NAT-роутер. Она заставляет роутер переключиться с стандартного порта на тот, который указан идентификатором вызова, когда он сталкивается с любым трафиком PPTP.
Эта функция позволяет VPN-клиентам устанавливать исходящие соединения на базе PPTP.
IPsec passthrough работает с использованием NAT-T, технологии преодоления сетевого адресного перевода. Реализация этой сетевой процедуры установит и безопасно поддержит IP-соединения через шлюзы, которые требуют NAT.
IPsec VPN-ам нужно использовать NAT-T для корректной работы с протоколом NAT. В противном случае трафик не будет зашифрован, и VPN-туннели не будут созданы.
NAT-T инкапсулирует защищенный полезный груз в пакет UDP (User Datagram Protocol), который распознает NAT.
Процесс намного эффективнее, потому что основа IPsec — это протоколы, которые должны быть полностью включены, чтобы проходить через межсетевые экраны и трансляторы сетевых адресов:
Многие роутеры имеют специфические функции, встроенные в их программу, называемые IPsec passthrough. Во всех поддерживаемых версиях Microsoft Windows NAT traversal включен по умолчанию, так что вам ничего менять не нужно.
Отключайте VPN Passthrough только в случае, если это улучшает общую безопасность. Сообщение через порты брандмауэра, которые обычно открыты и доступны, теперь будет заблокировано.
Однако это значит, что любой пользователь за шлюзом не сможет создать и поддерживать VPN-соединение. Это ограничение будет результатом блокировки VPN-портов на брандмауэре.
Пользователи VPN в сети SOHO (Small Office Home Office) не должны блокировать эти порты.
Функция VPN Passthrough необходима, если вам нужно использовать устаревший VPN-протокол, не поддерживаемый роутером, к которому вы подключаетесь.
Если вы используете старые технологии, эта функция может быть вам необходима, но шансы велики, что сегодня она представляет лишь исторический интерес.
Наиболее надежным и эффективным роутером в этом случае, ставшим стандартом для VPN Passthrough, является Netgear WGR614 Wireless Router. Он поддерживает не менее трех одновременных VPN-соединений.
Затем идет Netgear FWAG114 ProSafe. Хотя он немного дороже предыдущего, этот роутер также поддерживает VPN от начала и до конца, более известные как site-to-site VPNs.
В итоге можно сказать, что процедура VPN Passthrough имеет много преимуществ и практически не имеет недостатков. Эффективно позволяет использовать VPN практически со всеми роутерами, обходя их стандартные системные настройки.
Теперь вы знаете, что делать, если ваш роутер не может подключиться к VPN. Выполните IPSec или PPTP VPN Passthrough, в зависимости от самого роутера, и дышите свежим воздухом конфиденциальности.
Кроме того, я касаюсь вопроса о том, когда следует отключать функцию VPN Passthrough и привожу примеры роутеров, которые поддерживают эту функциональность.
Это руководство идеально подходит для всех, кто хочет понять, как работает VPN Passthrough и как это может быть полезно для устаревших VPN-протоколов.
Некоторые нашли ответы на эти вопросы полезными
Нужно ли разрешать VPN Passthrough?
Если ваше VPN-соединение зависит от старых протоколов VPN, таких как PPTP и L2TP, тогда да, нужно. Эти протоколы не очень хорошо совместимы с NAT. Роутеры используют NAT для маршрутизации пакетов данных в сетевых устройствах. Однако, если у вас современное VPN-соединение, нет необходимости включать функцию VPN Passthrough. Современные протоколы работают с NAT.
Как включить VPN Passthrough на моем роутере?
Чтобы проверить, включен ли у вас VPN Passthrough, вам нужно зайти на веб-страницу настроек вашего роутера. Обычно настройки VPN Passthrough можно найти на вкладках "Безопасность" или "VPN". Убедитесь, что следующие опции включены: IPSec Passthrough, PPTP Passthrough и L2TP Passthrough. Если они разрешены, вы сможете установить VPN-соединение.
Безопасен ли VPN Passthrough?
Протоколы, предлагаемые для VPN Passthrough, не считаются безопасными. Они обеспечивают высокую скорость за счет вашей безопасности. Если вам важна безопасность в интернете, лучше отключить VPN Passthrough и использовать VPN-соединения с современными протоколами безопасности, такими как OpenVPN.
Есть ли функция VPN Passthrough на всех роутерах?
Большинство популярных роутеров имеют встроенную функцию VPN Passthrough. Это удобно для тех, кто все еще использует VPN-соединения, основанные на протоколах IPSec, PPTP и L2TP. Если вы не используете эти протоколы, включать эту функцию необязательно.
Стоит ли отключить NAT?
Нет, не стоит. NAT полезен, так как позволяет роутерам перенаправлять интернет-трафик на ваши устройства. Обычно ваш роутер подключается к интернету с одним зарегистрированным внешним IP-адресом. Устройства, подключенные к вашему роутеру, используют частные IP-адреса. Если вы отключите NAT, вы потеряете доступ к интернету.