Что такое OpenVPN?
Если вы сосредоточены на защите своей конфиденциальности в Интернете, вы, вероятно, уже используете VPN. Лучшие VPN (и надежные бесплатные VPN) надежно шифруют ваш веб-трафик и защищают его от хакеров.
Ключевым элементом каждого VPN-подключения является его VPN-протокол — набор правил, определяющих все, от того, как приложение безопасно подключается к VPN-серверу, до методов передачи данных и того, как закрыть сеанс, когда вы закончите.
Большинство VPN поддерживают несколько протоколов — WireGuard, IKEv2, L2TP, SSTP и другие — но OpenVPN, безусловно, самый популярный. Но что такое OpenVPN, лучше ли он конкурентов и что дальше с популярным протоколом?
Как появился OpenVPN
В 2001 году разработчик Джеймс Йонан путешествовал по Центральной Азии, когда ему нужно было удаленно подключиться к своей бизнес-сети. Вынужденный устанавливать незашифрованные соединения через серверы в странах с очень сомнительной практикой безопасности, Йонан понял, насколько уязвимы его данные. Его решение состояло в том, чтобы создать проект с открытым исходным кодом для шифрования данных и защиты их от шпионов. Разработчик изначально планировал, что это будет побочный проект. Он понятия не имел, что изобрел то, что должно было изменить лицо зашифрованных коммуникаций на долгие годы.
Фрэнсис Динха родился и вырос в Ираке во время правления Саддама Хусейна. Выросший в мире, где выражение антиправительственных взглядов может привести к наказанию, тюремному заключению и даже казни, Динха усвоил несколько суровых уроков об истинной ценности личной жизни.
Покинув Ирак, подав прошение о предоставлении убежища в Швеции, а затем прибыв в США, Динха услышал о творении Йонана и осознал возможности. Двое мужчин поговорили и придумали бизнес-план. В 2001 году они основали OpenVPN, а в 2002 году — протокол OpenVPN увидел свой первый публичный релиз.
Шифрование OpenVPN
OpenVPN предоставляет средства для соединения компьютеров в виртуальную частную сеть. То есть, даже если компьютеры удалены друг от друга, в другом офисе, в другой стране, на другом конце света, он может безопасно соединить системы между собой через безопасный зашифрованный туннель.
OpenVPN может создать свой VPN-туннель, используя протокол управления передачей (TCP) для максимальной надежности или протокол пользовательских дейтаграмм (UDP) для чистой скорости, гибкость, которая даже сегодня превосходит некоторые конкурирующие протоколы.
Коммуникации управляются Secure Sockets Layer/Transport Layer Security (SSL/TLS). Это та же технология, которая используется для защиты данных, передаваемых на веб-сайты HTTPS и с них. Это преимущество, если вам нужен OpenVPN для обхода брандмауэра или какой-либо другой блокировки VPN, так как после его настройки сложно сказать, что вы используете VPN. Ваша онлайн-активность выглядит как обычный веб-трафик HTTPS.
OpenVPN использует множество функций SSL/TLS, таких как подтверждение того, что вы подключаетесь к законному серверу, создание и совместное использование новых ключей шифрования для защиты ваших данных для этого сеанса, а также проверка ваших данных на отсутствие изменений.
Надлежащая реализация современного веб-шифрования — огромная задача, и, к счастью, OpenVPN не пытается сделать это, перекладывая большинство задач шифрования на очень обширную библиотеку OpenSSL.
Это хорошая новость, так как OpenSSL — это функциональный продукт, широко используемый многими веб-серверами для управления их HTTPS-соединениями. Но OpenVPN также использует его для поддержки практически любого алгоритма шифрования, хеш-функции или технологии шифрования с открытым ключом. Сюда входят AES, Chacha20, Poly1305, Triple DES, SM4, MD5, SHA-2, SHA-3, BLAKE2, Whirlpool, RSA, Diffie-Hellman, эллиптическая кривая и другие.
Гибкие конфигурации
Одним из основных преимуществ OpenVPN является его гибкий и настраиваемый дизайн, который дает провайдерам VPN (а иногда и пользователям) огромный контроль над тем, как работает сервис.
Провайдеры могут легко переключать алгоритмы шифрования OpenVPN, оптимизируя VPN для обеспечения безопасности или скорости. OpenVPN поддерживает изменение настроек сети, например, запрос вашего устройства на использование другого DNS-сервера. И он поддерживает все сетевые стандарты, которые вам нужны. Нужен IPv6, а также поддержка IPv4? OpenVPN можно настроить так, чтобы справиться с этим и обеспечить подключение в большинстве ситуаций.
Соединения OpenVPN настраиваются с помощью файлов конфигурации, которые принимают множество различных команд, предоставляя вам всевозможные способы решения сложных ситуаций.
Допустим, вы не можете подключиться, потому что сервер не работает. OpenVPN поддерживает настройку пользовательского тайм-аута, прежде чем он откажется от попытки, поэтому вы можете долго ждать серверы, которые, как вы знаете, работают медленно, или всего несколько секунд для других. Он может установить количество повторных попыток и количество секунд ожидания между повторными попытками. Он может изменять низкоуровневые сетевые настройки, возможно, помогая вам подключаться к загруженным сетям или через некачественные соединения. Можно даже указать, сколько серверов вы можете использовать, каждый со своими предпочтительными настройками подключения. OpenVPN будет пробовать все это, пока не найдет тот, который работает.
Эти файлы конфигурации очень легко читать и редактировать, поскольку они представляют собой не более чем текстовые файлы с собственным расширением (.ovpn). Многие провайдеры VPN упрощают клиентам подключение через OpenVPN, предлагая готовые файлы конфигурации на своих веб-сайтах.
Однако стоит отметить, что эти функции обычно недоступны в мобильном приложении VPN, если оно не написано для их поддержки. Так что не удивляйтесь, если вы не увидите ничего подобного у вашего собственного провайдера, даже если они поддерживаются OpenVPN.
Даже если встроенных функций OpenVPN недостаточно, это еще не конец истории. Протокол может быть расширен с помощью плагинов, скриптов и т. д., предоставляя всевозможные другие возможности настройки.
Одним из популярных плагинов является «auth-pam». PAM означает модуль «Подключаемая аутентификация». Это позволяет вам повысить безопасность OpenVPN, например, требуя аутентификации как по паролю, так и по специальному сертификату открытого ключа «X.509».
Вы также можете использовать плагины для повышения безопасности сервера OpenVPN с помощью двухфакторной аутентификации с помощью Duo или LastPass. Эта гибкость лежит в основе того, почему OpenVPN является таким популярным протоколом, позволяя пользователям настраивать его в соответствии с конкретными потребностями каждой платформы VPN.
Преимущество открытого исходного кода
Еще одним большим преимуществом OpenVPN является открытый исходный код. Любой может скачать исходный код, проверьте его на наличие проблем, добавьте новые функции или используйте его для создания собственных продуктов.
Это помогло расширить возможности OpenVPN для работы практически на любой платформе, от VPN для Windows до Mac, Android и почти всех разновидностей Linux.
Хотя iOS изначально не поддерживает подключения к серверам OpenVPN, для этого можно использовать стороннее приложение, например OpenVPN connect. Если у вас есть iPhone, iPad или другое устройство iOS, см. наше руководство Как настроить и использовать OpenVPN Connect.
Другие связанные проекты с открытым исходным кодом выросли вокруг протокола. Например. Клиентское программное обеспечение для AirVPN, известное как Eddie, представляет собой мощное приложение OpenVPN с большим количеством функций, чем у большинства конкурентов, но оно бесплатное, с открытым исходным кодом, и вам разрешено загружать и использовать его с любой службой, совместимой с OpenVPN, а не только с AirVPN.
Вся эта деятельность породила большое сообщество разработчиков, которые работают над проектом, исправляют ошибки и уязвимости безопасности, а также совместно работают над свежими идеями для протокола. Нет никакой гарантии, что у OpenVPN не возникнет проблем, но чем больше людей будут проверять код, тем больше вероятность того, что любые проблемы будут обнаружены на ранней стадии.
Прозрачность проекта с открытым исходным кодом также способствует доверию. Ведущие провайдеры, такие как ExpressVPN, поддерживают этот дух: компания сделала код для своего протокола Lightway открытым. Однако большинство протоколов VPN не имеют открытого исходного кода, и когда провайдер говорит вам, насколько хороши его предложения, вам просто нужно поверить им на слово.
С OpenVPN никому не сойдет с рук нереалистичные заявления или обещания, потому что тысячи экспертов регулярно разрабатывают и проверяют исходный код.
Клиентское программное обеспечение
Бесплатным и открытым исходным кодом является не только серверное программное обеспечение OpenVPN. Так же как и клиентское программное обеспечение, которое вы устанавливаете на свое устройство для подключения к серверу OpenVPN. Одной из самых популярных реализаций является OpenVPN Connect, которую можно легко настроить на большинстве платформ. Преимущество использования клиента с открытым исходным кодом вместо клиентского программного обеспечения вашего провайдера VPN заключается в том, что гораздо проще проверить любые утверждения.
Например, если ваш провайдер VPN говорит, что его проприетарный клиент с закрытым исходным кодом защищает соединения с помощью быстрого и мощного потокового шифра ChaCha20, а не чуть менее безопасного AES-256-GCM, вы просто должны принять это утверждение. Используя программное обеспечение с открытым исходным кодом, такое как OpenVPN Connect, и легко читаемые файлы конфигурации .ovpn, вы можете сами проверить, как ваше соединение аутентифицируется и шифруется.
Естественно, это работает в обе стороны: если программное обеспечение вашего VPN-клиента имеет специальную функцию, предлагаемую этим конкретным провайдером, например Meshnet от NordVPN, то она не будет включена в программное обеспечение.
Тем не менее, как и большинство современных проприетарных VPN-клиентов, клиент OpenVPN Connect теперь включает переключатель отключения VPN. Это означает, что если ваше подключение к VPN-серверу по какой-либо причине не удается или обрывается, вся сетевая активность останавливается до тех пор, пока ваше устройство снова не будет подключено к VPN. Это защищает ваш IP-адрес и личные данные.
Если определенное устройство не совместимо с OpenVPN Connect, рассмотрите возможность установки клиента на совместимом защищенном маршрутизаторе. Если на вашем маршрутизаторе установлен брандмауэр Linux pfSense или прошивка с открытым исходным кодом OpenWRT или DD-WRT, вы можете настроить его для подключения к серверу, совместимому с OpenVPN. После этого все устройства, которые вы подключаете к маршрутизатору, также будут подключены к VPN.
Если вы хотите изменить прошивку вашего маршрутизатора, вам необходимо убедиться, что у вас есть совместимая модель. Для получения дополнительной информации см. наше руководство Улучшите свой маршрутизатор с помощью OpenWRT.
Недостатки OpenVPN
Использование библиотеки OpenSSL было правильным решением при первоначальной разработке OpenVPN, поскольку всегда разумнее использовать проверенную и надежную библиотеку SSL, а не пытаться разрабатывать и поддерживать свою собственную.
К сожалению, в последние годы в OpenSSL были обнаружены некоторые уязвимости. Одним из крупнейших из них был Heartbleed. Когда злоумышленник передал определенные расширения данных OpenSSL, он мог прочитать до 64 КБ памяти хост-компьютера. Хакеры могут повторить это, чтобы прочитать больше данных, подвергая риску такую информацию, как имена пользователей, пароли и журналы подключений.
Разработчики OpenVPN быстро отреагировали, выпустив патч для уязвимых версий своего серверного программного обеспечения. Они отметили, что OpenVPN сочетает SSL-соединения с TLS-аутентификацией, которая подписывает пакеты данных цифровой подписью для проверки их целостности. Программное обеспечение также использует Perfect Forward Security, генерируя ключи шифрования для каждой сессии. Это означает, что даже если злоумышленник в сети обнаружит ключи, он не сможет использовать их для декодирования ваших данных при следующем подключении вашего устройства к серверу OpenVPN. Уязвимость затронула только серверы, но не мобильные устройства, которые использовали другую библиотеку SSL под названием PolarSSL (теперь известную как Mbed TLS).
На веб-сайте OpenVPN есть список возможных проблем с безопасностью включая еще одну уязвимость OpenSSL, которая была обнаружена в ноябре 2022 года, хотя ее снова легко исправить, просто обновив серверное программное обеспечение.
В программном обеспечении сервера OpenVPN Access есть и другие уязвимости, но почти все они связаны с неправильной настройкой или обновлением программного обеспечения. Использование надежного VPN должно решить эту проблему.
Неопределенное будущее
OpenVPN долгое время был одним из лучших протоколов VPN. Но некоторые думают, что его правление подходит к концу.
Новые протоколы, такие как WireGuard, специальное решение NordVPN Wireguard NordLynx и Lightway от ExpressVPN, имеют более простой и урезанный дизайн. Они отказываются от большей части функциональности OpenVPN, чтобы сосредоточиться только на основных принципах VPN. И хотя это делает их относительно короткими по функциям, есть большие компенсации, в том числе более быстрое время соединения и потенциальное удвоение скорости загрузки.
Поскольку такие протоколы, как Wireguard, поддерживают только более новые схемы шифрования, их использование может быть более безопасным по сравнению с OpenVPN, который пытается поддерживать как можно больше схем шифрования, даже более старые, такие как 3DES. Например, протокол Lightway ExpressVPN основан на WolfSSL, а не на OpenSSL, поэтому он не разделяет специфические недостатки OpenSSL, такие как Heartbleed. Он также предназначен для эффективной работы даже на устройствах с низким уровнем ресурсов, поэтому некоторые пользователи могут обнаружить, что он обеспечивает более быстрое соединение.
Однако новые протоколы имеют некоторые недостатки. Меньшее количество функций означает, что они не так широко поддерживаются, как OpenVPN, и не доступны на таком количестве платформ. В WireGuard не так много функций конфиденциальности, как в OpenVPN, и, поскольку он не поддерживает TCP, он может быть не таким надежным в некоторых ситуациях, поскольку TCP требует времени для проверки правильности отправки данных и может повторно отправить любые пропущенные данные. пакеты.
OpenVPN в целом
Появление Wireguard, Nordlynx и Lightway может означать, что OpenVPN больше не является протоколом лучшего выбора для большинства пользователей VPN. Если WireGuard работает для вас и удваивает вашу скорость, то обязательно используйте его.
OpenVPN по-прежнему полезен в качестве запасного варианта — более надежный и универсальный протокол, который работает даже в сложных ситуациях, когда другие терпят неудачу. А его гибкость и набор функций означают, что он остается одной из самых важных технологий VPN.
Какой бы протокол вы ни выбрали, помните, что технология с открытым исходным кодом предлагает наилучшие гарантии безопасности, а код постоянно проверяется сообществом. Вот почему подключение к серверу OpenVPN через FOSS OpenVPN Connect чрезвычайно безопасно, и вы также найдете клиенты с открытым исходным кодом, доступные для Wireguard. С другой стороны, если вы выберете Lightway, помните, что вы также выбираете ExpressVPN, так как этот протокол в настоящее время не поддерживается другими провайдерами.