пятница, 4 сентября 2015 г.

Домашняя VPN - подводя промежуточные итоги

Я долго писал цикл сообщений про настройку разнообразных устройств для работы в домашней VPN сети. Еще дольше я пользуюсь этими благами цивилизации (речь про VPN) - настроил свои первые устройства я несколько раньше, чем решил поделиться опытом. Но, как и всегда, все течет, все изменяется, появляются новые устройства, новые операционки, приходится что-то донастраивать, что-то менять. Так, относительно недавно, я подключил к домашней сети планшет Acer с Windows 10 на борту. Этот процесс, похоже, бесконечен, поэтому надо взять паузу и подвести, хотя бы, промежуточные итоги.

Итак. Для начала напомню, каковы были мои основные цели. Первое - я хотел иметь доступ к домашнему хранилищу информации. Хотел использовать имеющиеся в моем распоряжении устройства Western Digital MyBook Live и MyBook Live Duo, как замену облачным сервисам типа Dropbox, Box, Drive, OneDrive или Yandex.Disk. Второе - я хотел иметь удаленный доступ к компьютерам в домашней сети, не прибегая к помощи сторонних сервисов, таких, как Team Viewer или LogMeIn.

Конечно, можно сказать, что для достижения первой цели VPN, вроде как, совсем и не обязателен: подключи диск к роутеру и настрой FTP доступ. Для второй цели - удаленного доступа к домашнему оборудованию - VPN тоже не обязателен: можно настроить туннели, пробросить порты, сделать еще что-нибудь, и получить нужный результат. На это можно долго возражать, апеллируя к каким-то аспектам и особенностям, но все это свалится, в конечном итоге, к подобию холивара, а там уже аргументы и не нужны вовсе.

Поэтому я не хочу и не буду подводить обоснование под то, почему выбрал VPN как средство достижения обозначенных целей. Выбрал и выбрал. Вопрос в большей степени заключается в том, достиг ли того, чего хотел или нет. И на этот вопрос, как не удивительно, однозначно ответить я не могу.

Содержимое MyBook Live Duo
на расстоянии примерно 30 км
Конечно, настроив устройства для работы в виртуальной частной сети, я получил полный и, относительно, безопасный доступ к своей домашней сети. Да, теперь я могу с планшета под управлением Android обратиться к хранилищу на MyBook Live Duo, например, за книжкой, скопировать туда (или оттуда) какой-нибудь файл. Использую я для этого, например, на семидюймовом планшете Asus с Android совершенно обычные файловые менеджеры - Total Commander с плагином для работы в сети, ES проводник. Да даже стандартный файловый менеджер Asus умеет работать с сетевыми ресурсами. Про планшеты с Windows вообще молчу - никаких отличий от обычной работы дома. Я могу даже запустить медиакомбайн Kodi, да так, как будто нахожусь дома - используя все прелести домашней аудио и видео библиотеки, включая централизованную базу данных.

Total Commander тоже не замечает расстояний
Причем все это - действительно довольно безопасно. Ведь все эти устройства и файлы извне по прежнему не видны. А для того, чтобы подключиться к домашней сети и получить доступ ко всему этому богатству, надо указать имя пользователя и пароль. Опять же, трафик шифруется. Конечно, есть вероятность взлома, но... Так что, можно сказать, что первая цель достигнута.

Рабочий стол Windows 7 с Total Commander на
семидюймовом планшете Asus
Да и вторая задача тоже решена. Войдя в домашнюю сеть с удаленного устройства, я могу с него подключиться и управлять любым моим домашним устройством. Если речь идет об устройствах с каким-нибудь Linux на борту, то SSH мне в помощь. В качестве клиента на Windows планшетах я использую Putty, на планшете с Android - JuiceSSH. Ну а до компьютеров с Windows я добираюсь при помощи протокола RDP. На планшете Acer (раньше была Windows 8.1, теперь - Windows 10) установлена программка из Windows Store - Microsoft Remote Desktop, на планшете HP (там Windows 7) - стандартный Windows клиент Remote Desktop Connection, ну а с планшета Asus (Android Lollipop) мне помогает тоже программа от Microsoft - RD Client.

Тот же рабочий стол, но на экране Acer с Windows 10
То есть, вроде, все хорошо. Но, как всегда, есть маленькие "но", которые не позволяют сказать, что "все просто замечательно". Что же это за минусы такие?

Во-первых, это та самая защита паролем. Когда я работаю сам - все замечательно. Как только я хочу с кем-то разделить радость собственной виртуальной частной сети, возникают проблемы. Нет, все работает, но я должен создать пользователя на сервере VPN для этого человека, только так он сможет подключиться и получить доступ к моей домашней сети. Причем, доступ будет такой же, как и у меня, потому что мой сервер VPN не умеет разграничивать права доступа для различных пользователей. Удаленно управлять моими устройствами, не зная имен заведенных на них пользователей и их паролей, конечно, не получится. Да и к личным каталогам на этих устройствах без паролей не добраться, но зато к публичным ресурсам - милости просим. То есть, я не могу настраивать права создаваемым на VPN сервере пользователям, я должен создавать какие-то частные ресурсы на устройствах и дальше решать, кому из пользователей VPN сообщать пароли, а кому - нет. Если честно, это не совсем удобно.

Во-вторых, это тип моей VPN сети. Напомню, что я решил использовать PPTP. Этот выбор был обусловлен тем, что на моем роутере можно без проблем было поднять сервер VPN, использующий этот протокол, практически все мои устройства оснащены соответствующими клиентами, да и настраивается все это хозяйств довольно легко. Но есть в этой технологии и недочеты. Загибаем пальцы.

Только такие протоколы в WP 8.1
Первое - работа ведется через порты, которые легко режутся корпоративными прокси
серверами. Так, например, я настроил клиентов VPN на своих виртуальных машинах. Когда я работаю, используя свои собственные точки доступа, например, мобильный WiFi роутер - все хорошо. Но когда я поднимаю эту же виртуалку на рабочем компьютере, выходящем в интернет через прокси - все, finita la commedia, что в переводе значит, финита ля комедия. Корпоративный прокси не пускает трафик по стандартным для PPTP портам, и подключиться, в такой конфигурации, к домашней сети я не могу.

Второе - соответствующими клиентами оснащены практически все мои устройства. Еще месяц назад слово "практически" можно было не употреблять. Но недавно я стал обладателем телефона под управлением Windows Phone 8.1 - на удивление ладный аппарат с надписью Microsoft. Однако, производитель не снабдил его встроенным клиентом для PPTP VPN. Более того, я не смог найти и сторонний софт, который бы позволил мне подключиться к домашней сети с этого телефона.

В-третьих, все-таки все признают, что защищенность сети весьма относительна. Именно по это причине Microsoft не стал включать в Windows Phone 8.1 клиента для PPTP VPN.

То есть, наряду с большим количеством плюсов, существуют еще и некоторое количество минусов. Эта ситуация не дает мне почивать, что называется, на лаврах, и, видимо, я все-таки буду менять используемую мною VPN - вместо PPTP буду использовать какой-нибудь другой протокол, например, L2TP/IPsec - хотя не факт, что у него не будет в наличии какого-нибудь из перечисленных выше минусов. Хорошим выбором мог бы стать OpenVPN, но для него у Windows Phone 8.1 тоже нет клиента.

Конечно, я уже нашел и применил некоторые решения для обхода части из перечисленных минусов. Но это тема для отдельного большого разговора, и мне потребуется время, чтобы обо всем этом рассказать. Такие вот дела...

Комментариев нет:

Отправить комментарий