Введение

Пролог

Наверняка, многие из читателей этой статьи большую часть жизни VPN представляли себе как нечто, что позволяет пользоваться Facebook и Instagram (их деятельности запрещена на территории нашей страны — Российской Федерации — так как их разработчики признаны экстремистскими организациями) при наличии блокировки со стороны провайдера. Ну, или, на худой конец, для того, чтобы заходить в одноклассники и вконтактик на работе, где доступ к ним прикрыт, а мобильный интернет или не работает, или тупо жалко на него тратиться.

Но, раз уж ты, дорогой читатель здесь, значит настал в твоей жизни момент осознания того, что одними соцсетями мир не ограничивается. И что понятие VPN выходит далеко за рамки способа обхода блокировок интернет-ресурсов со стороны провайдера.

Допускаем также и вариант твоей усталости, дорогой читатель, от чтения (ну как чтения...) десятков предыдущих результатов поиска в Яндексе, в которых куча каких-то схем сетей, непонятных терминов, названий оборудования, сетевых протоколов и всего тому подобного, на изучение чего времени как бы и нет, а работающий VPN под рукой нужен уже сейчас.

Мы поздравляем вас с этим! Здесь не будет множества неведомых схем, терминов и прочего. Просто — инструкция по применению.

Кстати, если вам лень читать прям всю статью целиком, можете сразу же переместиться вниз.

Постановка задачи

Исходные данные такие.

  1. Есть организация: ООО «Ромашка».
  2. У организации есть домен в интернете: romashka.ru, и им, даже, кто-то управляет. Возможно, даже, на этом домене работает сайт (но к делу это не относится).
  3. Организация занимается оптово-розничной торговлей палочек для мороженого эскимо.
  4. У организации есть офис.
  5. У организации появился (но ещё не открылся) розничный магазин палочек для мороженого.
  6. У организации есть сервер, и на нём, даже, есть .
  7. И офис, и розничный магазин должны работать в одной базе .
  8. На данный момент в открывающемся магазине не подключен проводной интернет. Там есть только LTE-модем. Но стационарный интернет там когда-нибудь обязательно уже вот вот появится.
  9. В офисе установлен роутер TP-Link [на самом деле, сюда можно подставить, в том числе, различные подобные D-Link, Netgear, Xiaomi, Keenetic и т.п.], который очень ценен, потому что у него четыре или пять антенн для Wi-Fi.
  10. Адрес локальной сети офиса: 192.168.0.0/24 (ну, потому что такой был в роутере, чё теперь?).
  11. Адрес локальной сети магазина ещё не выбран. Да и, если честно... а чё, там нужен какой-то другой адрес?
  12. Роутер для магазина ещё уже не куплен. Тоже хороший.

Первым, что предстоит сделать, это выбрать того человека, который набёрется смелости объяснить руководству, что о деньгах, уже потраченных на хороший роутер или роутеры придётся не жалеть, и расстаться с ними. Потребуется приобрести другие роутеры. Какие? Ну, например, если нет желания прям потратиться, то подойдут MikroTik RB951G-2HnD. И, да, приобрести потребуется и в офис, и в магазин.

Так как роутер приобретается надолго, не стоит останавливать свой выбор только лишь на озвученной выше модели. Лучше добавить средства, и приобрести более мощное устройство, в котором присутвует аппаратная поддержка современных алгоритмов шифрования. Почему это важно? Потому что в VPN, о котором дальше пойдёт речь, данные стоит передавать в зашифрованном виде, чтобы в случае их перехвата злоумышленник не имел простых способов доступа к ним.

Роутеры MikroTik могут и не иметь аппаратную поддержку алгоритмов шифрования, но поддерживать их. Но это очень ощутимо будет бить не просто по производительности роутера, а вообще по его работоспособности.

Информация об аппаратной поддержке алгоритмов шифрования опубликована на сайте производителя. К примеру, озвученная выше модель роутера вообще отсутствует в этой сравнительной таблице, что даёт основания полагать об аппаратной поддержке лишь устаревших md5 и sha1, что повлечёт за собой очень высокую нагрузку на процессор. А вот, например, hEX S уже значительно лучше, но не идеален.

Далее, нужно будет собрать всю волю в кулак, чтобы сменить адрес сети. Очень плохо давать сетям широкораспространенные адреса, к которым относятся, прежде всего, 192.168.0.0/24 и 192.168.1.0/24. Впрочем, и многие последующие тоже очень популярны. Да, это повлечёт за собой много работы по перенастройке конечных устройств, но иного пути не будет. Конечно, вы можете сейчас просто обойтись тем, что в «новом магазине» просто сразу выберете другой адрес сети. Но а потом что? Что сделаете, когда к вашему VPN потребуется подключить кого-то, у кого локальная сеть тоже 192.168.0.0/24?

Спросите, кто бы это мог быть и в какой ситуации? Легко! Выбирайте: дом директора организации, любой сотрудник, решивший всерьез поработать на удалёнке, ваша домашняя сеть. Предсьавьте, как будет «хорошо», если VPN-клиенту нужно подключаться к серверу , у которого IP 192.168.0.3, а в локальной сети VPN-клиента этот же IP присвоен... видеорегистратору. Куда в итоге подключится такой VPN-клиент?

оборудование для построения VPN

Наш «лабораторный» VPN для статьи мы построим между двумя роутерами MikroTik: RB951G-2HnD и CHR — Cloud Hosted Router — виртуальной машиной с RouterOS от MikroTik. Да, если ты, читатель, не знал, вполне себе рабочий роутер можно вообще на виртуальной машине развернуть.

Роль роутера офиса у нас сыграет аппаратное устройство, а роль роутера в магазине отведена виртуальной машине.

Локальные сети

Адрес локальной сети для офиса мы выбрали такой: 10.1.1.0/24. У роутера в локальной сети будет IP 10.1.1.254. Для магазина мы выбрали адрес локальной сети такой: 10.1.2.0/24, где IP роутера будет 10.1.2.254.

Если вы сюда переместились по ссылке из начала статьи, для вас есть две новости:
  • можете прочиать статью целиком;
  • можете не читать статью целиком.

Других вариантов не будет.

Эта статья опубликована 13.07.2025
Её прочитали 2 раза
доступ
Сайт принадлежит ООО Группа Ралтэк. 2014 — 2025 гг