Привет, я менеджер продукта в одной из российских компаний. На моей основной работе разрешена полная удалёнка, но при этом запрещено работать за границей. Однако такое непростое время мне хочется переждать где-то подальше от официального места проживания. Но как это сделать так, чтобы не пришлось уведомлять об этом работодателя? Думаю, схожий вопрос сейчас возникает у многих моих коллег по профессии. Если вас заинтересовала такая возможность, тогда пристегнитесь, эта статья для вас.
Отмечу, что статья написана не для хардкорных разработчиков, а для простых ребят, которые не разбираются в том, что такое локальная сеть, что такое VPN сервер, как подключить Wi-Fi к VPN серверу и как работает удалёнка на вашей работе.
Немного разберёмся в терминологии
Начнём с основ. Когда вы дома решаете подключить интернет, провайдер протягивает кабель в квартиру, подсоединяет его к точке доступа и настраивает соединение. В этот момент, где-то в глобальной сети появляется новый «остров» с личным адресом, по которому его можно найти. Это и есть ваш IP-адрес, именно по нему вас так хотят вычислить ребята из игр. С этого момента, все устройства, которые подключаются к Wi-Fi этого роутера, попадают в локальную сеть вашего IP-адреса. Внутри локальной сети устройства имеют разные адреса, начинающиеся на «192.168…», но для внешнего интернета все эти устройства будут иметь один и тот же адрес, который вам выдал провайдер. Теперь, каждый раз, когда вы посылаете запрос в интернет, провайдер и другие посредники видят адрес отправителя. Именно так товарищ майор в любой момент может узнать запросы, которые исходили от вас.
Товарищ майор учит рядового определять наличие VPN трафика
Как же помешать им получать информацию о вас, которой вы не хотите делиться? В этот момент на помощь приходят VPN-провайдеры. Это такие компании, у которых в интернете много «островов» в разных точках земного шара со своими IP-адресами. Если вы подключитесь к их локальной сети, то для получения результата (ответа), вы будете отправлять запрос сначала в их сеть, а из неё, в свою очередь, запрос будет отправляться во внешний мир для получения ответа. Для того, чтобы подключиться к локальной сети провайдера, а это и называется «включить VPN», нужно установить VPN-клиент, который будет шифровать весь трафик выходящий с вашего устройства и передавать его VPN-провайдеру. То есть для вашего провайдера это выглядит так, что вы отправляете непрозрачные пакеты с неизвестным содержанием на другой «остров», а что происходит дальше — неизвестно.
«Ага, это понятно, но как связан этот VPN и моя работа на удалёнке?»
Для того, чтобы подключиться к вашей корпоративной сети, вы используете тот же самый принцип. На вашей работе есть сервер, который хранит всю необходимую информацию, и вы можете к ней обращаться, пока сидите в офисной локальной сети. То есть, чтобы получить доступ к рабочим данным удалённо, вам просто нужно подключиться к этой локальной сети извне = сходить на «остров». Для этого, перед тем как попасть на рабочий рабочий (уж простите за тавтологию: ) стол c вашего ноутбука, вы и подключаете VPN-клиент (у большинства это Cisco Any Connect). Он шифрует данные и позволяет вам получить к ним доступ. При этом каждый раз, когда вы подключаетесь к корпоративной сети через VPN-клиент, сотрудники безопасности вашей компании видят с какого IP-адреса приходит запрос. И в случае, если IP-адрес запрещён, вы либо не получите доступ к данным, либо получите по жопе: ).
И что же тогда нам делать?
Такое длинное предисловие было лишь для того, чтобы простым языком направить вас на нужную мысль.
- Чтобы подключаться к корпоративной сети, ваш запрос должен приходить от правильного IP-адреса;
- Если вы сейчас вне разрешённого местоположения, то чтобы получить правильный IP-адрес, вам нужно использовать соответствующий VPN-сервер = «остров»;
Проще говоря, если выполнить эти условия, с вашей стороны это будет выглядеть так: я сижу на Луне, отправляю запрос на сервер в нужной точке и с нужным IP, а тот в свою очередь отправляет его в корпоративную сеть. После чего вам отправляется ответ точно таким же путём. В свою очередь, для сотрудников безопасности всё будет выглядеть так, будто вы в рабочем порядке подключаетесь с правильного IP.
Здесь нужна небольшая ремарка. Всё это может выглядеть так, будто мы пытаемся нарушить безопасность корпоративной сети, но не переживайте, это не так. Как вы помните, при подключении VPN-клиента все данные шифруются. Поэтому какие бы пути передачи данных вы не использовали, информация выйдет зашифрованной из корпоративной сети и будет расшифрована только у вас на компьютере. Иначе бы ваш обычный интернет-провайдер также имел доступ к данным.
Тут внимательный читатель может увидеть проблему: «Но я же сразу с ноутбука подключаюсь к корпоративному VPN, как же мне подключиться сначала к VPN с нужным IP-адресом, а потом уже к рабочему?». Есть минимум три решения:
- Настроить подключение к корпоративной сети через нужный VPN на одном компьютере. Но это требует довольно обширных знаний и умений в области сетей и операционных систем;
Подключиться к нужному VPN на своём компьютере, на нём же создать виртуальную машину (простыми словами, это когда вы заходите в другую операционную систему внутри своей основной операционной системы, что-то типа песочницы) и уже внутри неё подключаться к корпоративной сети. Минус такого подхода — всё будет работать медленнее, чем напрямую на физическом компьютере;
Подключить свой роутер к нужному VPN-серверу, и, подключив компьютер к сети роутера, подключаться к корпоративной сети. Именно об этом способе я дальше и расскажу.
У вас дома стоит роутер, с помощью которого вы и выходите в интернет. Как мы помним, для того, чтобы третьи лица не могли получать доступ к вашим запросам, вам нужно подключить VPN на устройстве, с которого эти запросы идут. Но что, если я скажу, что вы можете сразу подключить к VPN свой роутер. Это значит, что любое устройство, подключаясь к локальной сети этого роутера, будет автоматически подключаться и к VPN. Так происходит, потому что доступ в интернет осуществляется не с конкретного устройства, а от вашего IP-адреса, который одинаковый для внешнего мира в вашей локальной сети.
Таким образом, подключив роутер к нужному VPN-серверу, и подключаясь к сети роутера со своего ноутбука, вы автоматически будете выходить в интернет с необходимого IP-адреса. Да, об Инстаграме опять придется забыть; ) Ну а дальше всё просто: будучи подключенным к такому Wi-Fi, вы подключаетесь к корпоративному VPN на ноутбуке. Сначала запрос отправляется в точку с нужным IP-адресом (спасибо роутеру), а оттуда уже приходит в вашу корпоративную сеть. Ура!
Спасибо, конечно, за интересную информацию, но как всё это подключить?
Переходим к главной цели этой статьи, кроме небольшого пополнения багажа знаний для рядового пользователя, — инструкции по подключению. Вам понадобится:
1. Купить специальный роутер
Для того, чтобы подключить роутер к VPN-серверу, на нём должен стоять VPN-клиент. Тут есть два варианта:
Сложный. Купить роутер из списка. Только проверьте, что в роутере больше 1 МБайта памяти: для этого нужно нажать View/Edit data, найти строчку Flash MB и посмотреть значение. И самостоятельно поставить на него прошивку OpenWRT или DD-WRT и установить VPN-Клиент. Для примера, вот инструкция, как прошить Xiaomi. Инструкции можно нагуглить в открытом доступе;
Простой. Купить любой роутер фирмы keenetic актуальной линейки (то есть те, которые вывешены на сайте в тот момент, когда вы читаете эту статью). Там с завода стоит своя прошивка со встроенной поддержкой VPN-клиентов, так что ничего дополнительно делать не нужно.
Если у вас нет возможности купить роутер keenetic или вы решили стать героем и прошить роутер самостоятельно, но у вас не получилось, добро пожаловать в ТГ @pek_mek, я удалённо помогу вам прошить любой роутер из списка.
Внимание! Xiaomi стоят дешевле, но их web-интерфейс на китайском языке, что может составить небольшую проблему. Но Яндекс переводчик вам в помощь.
2. Купить VPN-сервер с хостингом в нужной точке
Допустим, вам нужен сервер в России. Для этого можете просто вбить в гугле запрос «vpn server Russia ip address» и купить. Ваша главная задача — убедиться в том, что у провайдера есть сервер в нужной локации. Для этого на сайте нужно найти раздел типа: локации, доступные места, регионы, и т. д.
Вот так выглядит раздел с указанием сервера у одного из провайдеров.
Еще один лайфхак — искать сайт на английском, так как найти на русском VPN-сервер в России не такая тривиальная задача, как кажется. Ориентировочная цена — от 2 до 5 евро в месяц.
После покупки VPN-сервера, вам придет файл конфигурации, который содержит информацию о шифровании и адресе сервера.
Так выглядит файл конфигурации внутри. Но открывать его не обязательно.
3. Соединить роутер с купленным VPN-сервером
На этом шаге проблема в том, что для каждой фирмы роутера разные инструкции по установке. Но всех их объединяет следующая последовательность действий (так как keenetic самый простой в установке, буду ссылаться на него):
Нужно с компьютера зайти в Web-интерфейс роутера (гугл в помощь);
Установить программу соответствующего VPN-протокола;
Импортировать файл конфигурации в нужный раздел VPN-клиента, который должен называться как-то вроде connection;
- Настроить межсетевой экран и маршрутизацию так, чтобы все пакеты шли в VPN, а не напрямую в сеть. Этим вам не придется заниматься, если у вас keenetic, там всё интуитивно и нужно просто найти и поставить галочку «отправлять туда весь трафик».
4. Проверка соединения
Теперь осталось проверить, что всё работает корректно. Подключаемся к Wi-Fi вашего прошитого роутера и проверяем доступ к интернету. Если работает, переходим на сайт и смотрим IP и местоположение. Если в данный момент ваше местоположение и нужного сервера отличается, то по карте вполне можно понять: сработало или нет. Если вы находитесь примерно на одной территории с сервером, то можете сравнить IP-адрес вашего обычного роутера и прошитого, подключив компьютер сначала к одному, а потом к другому. Если они отличаются, значит прошитый роутер подключен к другой локальной сети, следовательно, вы всё сделали правильно.
Поздравляю, это успешный успех!
Хорошая новость в том, что для настройки и тестирования, не обязательно сразу покидать текущее местоположение. Вы можете сначала всё настроить у себя дома, проверить работоспособность и только потом отправляться в путешествие.
Кроме того, будьте бдительны, и не попадитесь на глупости. Не используете другой ноутбук или телефон с корпоративной почтой или мессенджером, не звоните коллегам с нового номера и так далее.
Если по ходу подключения у вас возникли какие-то проблемы, пишите в комментариях, я постараюсь помочь их решить. А также пишите, если знаете более простой способ подключения. Поделимся знаниями с нашими согражданами.
Боже мой , это гениально !
Спасибо
Во всем интернете не смог найти подобную информацию, спасибо!
Спасибо большое за статью! А есть какие-нибудь проверенные сервисы, где можно купить сервак в россии для пункта 2?
Лично я брал тут: https://pq.hosting/vpn-wireguard. Их VPN-клиент Wireguard. Но это ровно ничего не значит, можно брать и у более известных ребят, например у них https://privatevpn.com/why-privatevpn/server-locations
Спасибо большое за ваш комментарий и статью! Помогло
Также коммент в другой статье про vpn, также помог
Советую просто поискать в гугле что-то типа "VPS Россия", сейчас зачастую B2C ДЦ предлагают и готовые VPN. Прям проверенных не знаю, надо смотреть по отзывам.
Роутер лучше выбирать с аппаратным ускорением AES шифрования, иначе будет скорость через vpn будет не больше пары мбит/сек. Из бюджетных - Asus RT-AC86U.
VPN в роутере чреват тем, что какие то сервисы и приложения перестанут работать. Надо прописывать правила и исключения.
Можно подключаться напрямую в интернет, мимо VPN, только через телефон, например. Или сделать отдельную сеть для этого. Это неудобно, но для работы это именно то что нужно: нет шансов по ошибке зайти в корпоративную сеть из не одобряемой СБ локации, потому что ошибка, рано или поздно, неизбежна, но в описанной схеме она не будет иметь серьёзных последствий, потому что в корпоративную сеть в случае ошибки зайти просто не получится.
Кроме того, в указанной схеме у вас будет две Wi-Fi сети: основная и через VPN. Поэтому действительно на нерабочих дейвайсах можно просто сидеть с основной и проблем не возникнет.
В статье метод, когда вы везете свой роутер с настройками и подключаете его к роутеру на месте.
Добрый день. Для совсем тех, кто в танке - я покупаю роутер Keenetic (или другой), покупаю IP адрес и мне надо подключиться в Испании в обход запрета СБ российской компании. Мне этот роутер оставить в России (тут проведён wi-fi и есть возможность оставить второй ноутбук?
Или я вожу роутер с собой, но у меня нет возможности подключиться к местному испанскому роутеру, установленному в квартире..
Как и к чему мне тогда подключать роутер? Может быть есть какое-то готовое решение, как раньше - роутер с настроенным IP российским адресом.. Или как раньше - модемчики маленькие были с предоплаченным лимитом интернета..?
Прочитала всё, и ничего не поняла((((
Кстати, у keenetic есть роутеры с usb разъемом для мобильного модема. Соответственно, если вставить модем и произвести настройки, то итог будет тот же.
Скажите, а можно вместо роутера использовать телефон как точку доступ? Например использовать приложение PdaNet+, который позволяет раздавать интернет с впн (правда только по проводу). Спрашиваю потому, что в Турции бывают квартиры, где роутер не выведен отдельно в квартиру, а на весь этаж.
Насчёт PdaNet+ не знаю и сомневаюсь что сработает, потому что требуется установка программы и на компьютер тоже; как будет время - изучу как оно работает.
Знаю что при наличии root-прав на андроид-смартфоне раздавать wi-fi с VPN — тривиальная задача, VPN Hotspot приложение называется, и наверняка есть ещё способы. Но тут уж выбирать придётся, либо рабочий google pay и netflix (да и в целом смартфон с root-доступом гораздо слабее защищён от любых угроз), либо раздавать VPN. Как вариант, можно использовать для этих целей отдельный телефон.
Ещё один вариант - подключить к телефонному хотспоту роутер, и на роутере же, как описано в статье, подключить VPN, и этот вариант выглядит несколько более надёжным, потому что смартфоны в общем-то для таких вещей не предназначены.
Приложение устанавливается довольно просто. Этот вариант будет очень нужен, пока ты находишься например в отеле и ищешь жильё. А по поводу подключения роутера к телефонному хотспоту - можно поподробнее? Не понял, что имеется ввиду.
Что-то вроде такого? https://lumpics.ru/how-to-add-a-mobile-wireless-hotspot-to-router/
Роутер с собой возить получается нужно? Его же не везде можно подключить.
А возможно тот же результат, но через домашний роутер, чтобы при подключении сохранялся домашний ip адрес? Или это сложная схема
Комментарий удален модератором
Комментарий недоступен
Посоветуйте, пожалуйста, VPN, использование которого будет невидимым для работодателя и невозможным для его расшифрования.
Максимально невидимым для работодателя будет вариант, если ты развернешь сервер у себя дома, в этом случае при подключении будет виден твой домашний ip. Могу попробовать расписать этот вариант, но для этого тебе дома как минимум нужен будет компьютер и wi-fi, которые никуда не переезжают. Любой сторонний vpn будет подключаться от общего сервера, который при большом желании безопасники могут засечь. Но на своём опыте могу сказать, что они так не заморачиваются, и при этом доказать всё равно ничего не смогут. В крайнем случае можно сказать, что ты просто дома сидишь через VPN.
А опишите пожалуйста этот способ, если есть возможность. У меня есть как раз компьютер и wi-fi в нужной локации и это выглядит наиболее подходящей опцией!
Мне нужен VPN, поскольку важно, чтобы локация была соответствующая политике компании.