Internet už není bezpečné místo. Někdy se zdá, že internet byl navržen tak, aby vládám, firmám a slídilům všeho druhu usnadňoval špehování běžných lidí. Není tedy divu, že obrovské množství lidí používá k ochraně sítě VPN.
Ale i ty nejlepší komerční služby VPN mají své slabiny. Proto se stále více lidí snaží vytvořit si vlastní VPN.
Je také rok 2020 a vzhledem ke všemu, co se ve světě děje, můžete mít málo peněz, hledat, jak si ukrátit čas ve výluce atd.
V tomto článku se podíváme na různé důvody, proč si zřídit vlastní VPN, i na důvody, proč to nedělat. Řekneme si také o třech způsobech, jak to udělat, a na jeden z nich se podíváme podrobněji.
Na konci tohoto článku byste měli mít dobrý přehled o tom, zda má pro vás zřízení vlastní VPN smysl a jaký přístup byste chtěli zvolit.
- Důvody, proč si zřídit vlastní VPN
- Důvody, proč si nezřídit vlastní síť VPN
- Základy VPN
- Tři způsoby nastavení vlastního serveru VPN
- Nastavení serveru VPN na směrovači
- Název směrovače Konfigurace VPN
- Nastavení serveru VPN na vlastním počítači
- Přeměna jednodeskového počítače na vyhrazený server VPN
- Nastavení serveru VPN v cloudové službě
- Jak nastavit osobní server VPN na DigitalOcean
- Závěr
- Pros a proti pro nastavení vlastní sítě VPN
Důvody, proč si zřídit vlastní VPN
V dnešním světě existuje mnoho důvodů, proč používat VPN. Ale protože jste tady, předpokládáme, že už víte, proč VPN potřebujete. Dále předpokládáme, že se snažíte rozhodnout mezi používáním komerční služby VPN, jako je ExpressVPN nebo NordVPN, a vytvořením vlastní VPN.
Abychom vám s rozhodováním pomohli, uvádíme několik dobrých důvodů, proč si místo předplatného komerční služby zřídit vlastní VPN:
- Chcete využívat výhody služby VPN bez měsíčních plateb.
- Nechcete riskovat, že vaše online aktivity budou službou VPN zaznamenávány. (Ačkoli služby jako ExpressVPN se v různých právních bitvách opakovaně osvědčily jako služby s nulovým počtem záznamů)
- Chcete mít přístup k domácí síti odkudkoli na světě.
- Chcete mít přístup k místním zdrojům (například k domácímu účtu Netflix), když se nacházíte v jiné zeměpisné oblasti.
- Chcete umožnit ostatním lidem přístup ke zdrojům v domácí síti.
Důvody, proč si nezřídit vlastní síť VPN
Přestože existuje několik dobrých důvodů, proč si zřídit vlastní síť VPN, existuje také mnoho důvodů, proč to nedělat. Patří mezi ně:
- Nemáte rychlé připojení k internetu – Bez ohledu na to, kde se nachází váš server VPN, potřebujete vysokou rychlost odesílání i stahování, jinak se zpomalí vše, co je připojeno k vaší osobní síti VPN.
- Potřebujete síť VPN, abyste se mohli připojit ke zdrojům v jiných zeměpisných lokalitách – Služby VPN s více servery umožňují, aby to vypadalo, že se nacházíte na některém z desítek nebo dokonce stovek míst na světě. Protože vaše VPN by měla pouze jeden server, můžete se tvářit, že se nacházíte pouze na jednom místě.
- Chcete skrýt svou IP adresu – Pokud si postavíte server VPN na vlastním hardwaru, bude mít IP adresu spojenou s vaší domácí sítí.
- Nechcete se starat o údržbu – Údržba a aktualizace serveru VPN i hardwaru a softwaru, na kterém běží, je na vás.
- Musíte mít technické schopnosti pro nastavení serveru VPN a klientů.
- Chcete plně skrýt informace o svých platbách a totožnosti. VPN, kterou si sami nastavíte, může být bezpečná před logováním, ale pokud jste si koupili server, přes který tunelujete, se svým skutečným jménem a platebními údaji, jste mnohem zranitelnější než při použití služby VPN.
Základy VPN
Pokud uvažujete o zřízení vlastní VPN, pravděpodobně jste již všechny základy zvládli, ale pro jistotu začneme od začátku. Pokud už máte v těchto věcech jasno, pokračujte dál a přeskočte na část „Tři způsoby, jak si nastavit vlastní síť VPN.“
Když připojíte své zařízení k internetovému zdroji bez sítě VPN, obsah zpráv, které putují tam a zpět, je potenciálně viditelný pro slídily. Kromě toho, aby internet věděl, kam má zprávy posílat, musí každá zpráva vystavit hlavičku, která obsahuje vaši IP adresu a také IP adresu internetového zdroje, ke kterému jste připojeni.
S příslušným nástrojem je tedy slídilům viditelné vše.
Mnoho internetových zdrojů se snaží slídilům zabránit pomocí protokolu HTTPS. Jedná se o internetový protokol, který automaticky šifruje obsah zpráv. To může rozhodně pomoci, protože to zabraňuje slídilům vidět obsah zpráv, které jdou tam a zpět.
Ale HTTPS nedělá nic pro to, aby slídilové neviděli, že vy (přesněji zařízení na vaší IP adrese) komunikujete s daným internetovým zdrojem. Použití sítě VPN tento problém eliminuje. Zde je důvod:
Síť VPN řeší tento problém tím, že doprostřed konverzace umístí server VPN. Server VPN se nachází mezi vaším zařízením a internetovým zdrojem. Vaše zařízení se připojuje pouze k serveru VPN. Internetový zdroj se připojuje pouze k serveru VPN. Server VPN předává zprávy mezi vaším zařízením a zdrojem tam a zpět.
To pomáhá, protože server VPN používá při komunikaci se zdrojem jménem vašeho zařízení svou vlastní IP adresu. Kdokoli, kdo by špehoval spojení mezi serverem a zdrojem, by viděl pouze IP adresy serveru VPN a internetového zdroje. Vaše soukromí je v této části spojení chráněno, protože nikdo, kdo se na toto spojení dívá, nemůže vidět vaši IP adresu.
Zůstává však spojení mezi klientem VPN a serverem VPN. Pro řešení této části problému klient a server zapouzdřují zprávy, které mezi nimi procházejí. To znamená, že celé zprávy mezi zařízením a zdrojem šifrují. Pak zašifrované zprávy zahrnou do jiné zprávy. Tato druhá zpráva je to, co prochází mezi klientem a serverem tam a zpět.
Výhodou tohoto postupu je, že pro svět musí být viditelné pouze informace v záhlaví druhé zprávy. A jediné, co může záhlaví této zprávy prozradit, je, že vaše zařízení a server VPN spolu komunikují. Slídilové nemohou vidět nic z původní zprávy, protože celá zpráva včetně záhlaví je zašifrována v těle vnější zprávy.
Na serveru VPN jsou zprávy přicházející z vašeho zařízení vyjmuty z těla vnější zprávy a dešifrovány. Poté je v záhlaví zprávy vašeho zařízení IP adresa vašeho zařízení nahrazena IP adresou serveru VPN. Takto upravená zpráva se odešle do internetového zdroje.
Zprávy přicházející z internetového zdroje dorazí na server VPN. Tam je IP adresa serveru VPN nahrazena IP adresou vašeho zařízení. Takto upravená zpráva pak putuje tunelem do klienta VPN ve vašem zařízení, kde je extrahována, dešifrována a předána vašemu zařízení, jako by VPN nebyla uprostřed všeho.
Jak jsme právě viděli, jádrem funkční sítě VPN je server VPN. Ve zbytku tohoto článku se podíváme na způsoby nastavení vlastního serveru VPN a Klienta VPN budeme ignorovat. Důvody jsou dva:
- Server VPN, který nastavíte, bude diktovat, jak musíte nastavit své Klienty VPN.
- Existuje příliš mnoho zařízení, která můžete k síti VPN připojit. Kdybychom se snažili mluvit o Klientech VPN pro každé z nich, nikdy bychom tento článek nedopsali.
Jak se ukazuje, nastavení vlastního Serveru VPN je dost složité na jeden článek. Začneme toto téma zkoumat tím, že se podíváme na tři způsoby nastavení vlastního serveru VPN.
Tři způsoby nastavení vlastního serveru VPN
Existují tři způsoby nastavení vlastního serveru VPN. Způsob, který zvolíte, bude záviset na tom, co plánujete s VPN dělat a jaký hardware budete používat. Server VPN můžete nastavit:
- Na svém směrovači – Pokud používáte směrovač s integrovanými funkcemi VPN nebo váš směrovač podporuje vlastní firmware, například DD-WRT nebo OpenWrt, můžete server VPN nastavit na svém směrovači.
- Na vlastním počítači – Pokud instalace serveru VPN na směrovač nepřipadá v úvahu, můžete server VPN nastavit na volném počítači, dokonce i na něčem malém a málo výkonném, jako je Raspberry Pi. To lze provést poměrně snadno, zejména pokud používáte počítač se systémem Microsoft Windows, který má vestavěné funkce VPN. Pokud se vydáte touto cestou, budete samozřejmě muset mít počítač, na kterém je umístěn server VPN, spuštěný, kdykoli budete chtít VPN používat.
- V cloudové službě – Tento přístup nevyžaduje žádný další hardware. Pokud však hostujete server VPN v cloudové službě, musíte mít na paměti, že cloudová služba bude moci vidět vše, co s VPN děláte.
Podívejme se na každou z těchto možností podrobněji.
Nastavení serveru VPN na směrovači
Některé domácí a firemní směrovače mají server VPN zabudovaný přímo v sobě. Chcete-li jej používat, stačí se přihlásit do směrovače a poté zapnout a nakonfigurovat server VPN. Pokud váš směrovač tuto funkci má, měl by vám návod k jeho aktivaci poskytnout dodaný manuál. Pokud ne, mělo by vás k těmto pokynům dovést vyhledávání naformátované nějak takto:
Název směrovače Konfigurace VPN
Běžnější je situace, kdy váš směrovač nemá vestavěný Server VPN, ale „podporuje“ jej. To obvykle znamená, že do směrovače můžete nainstalovat firmware třetí strany a že po instalaci správného firmwaru bude směrovač schopen fungovat jako server VPN.
Nejoblíbenější jsou tři typy firmwaru pro směrovače třetích stran. Jsou to:
Ne všechny směrovače tyto balíčky firmwaru podporují. Chcete-li zjistit, zda je ten váš podporuje, musíte se buď prohrabat dokumentací ke svému směrovači, nebo se podívat na stránky firmwaru, který chcete použít.
- DD-WRT má databázi směrovačů, kde můžete vyhledat svůj směrovač a zjistit, zda je podporován.
- Na hlavní stránce Tomato, na kterou odkazujeme výše, jsou uvedeny směrovače, o kterých je známo, že s tímto firmwarem pracují.
- OpenWrt má stránku Podporovaná zařízení, kde najdete potřebné informace.
I když váš směrovač podporuje některý z těchto balíčků firmwaru, instalace nového firmwaru do směrovače není práce pro počítačového začátečníka. Stránky sice poskytují podrobné pokyny k instalaci svého firmwaru, ale je s tím spojeno mnohem více než jen spuštění instalačního programu.
A jedním z možných důsledků chyby je proměna vašeho směrovače v nepoužitelný kus šrotu, který můžete jedině vyhodit.
Tady je pohled na proces instalace DD-WRT na vysoké úrovni:
Jak vidíte, nejedná se o žádný nárazový projekt. Pokud se však rozhodnete, že to chcete zkusit, najdete další informace v našem průvodci „Jak nastavit VPN na směrovači“.
Nastavení serveru VPN na vlastním počítači
Pokud váš směrovač nepodporuje firmware třetích stran nebo nechcete riskovat jeho zničení, můžete server VPN nainstalovat na některý z vlastních počítačů. Tímto způsobem získáte přístup k souborům v počítači, který je hostitelem serveru VPN, a také ke zdrojům v síti, které jsou z tohoto počítače přístupné.
Nejjednodušší cestou je použít stolní počítač se systémem Windows nebo Mac, který jste ochotni nechat běžet 24 hodin denně. Koneckonců, server VPN je vám k ničemu, pokud je počítač, na kterém běží, vypnutý, když ho potřebujete.
Přeměna jednodeskového počítače na vyhrazený server VPN
O něco geekovštějším přístupem je vzít malé zařízení, jako je Raspberry Pi, a přeměnit ho na vyhrazený server VPN. Tento přístup má tu výhodu, že pro tento jediný úkol není nutné vázat větší, dražší a energeticky náročnější počítač.
I Raspberry Pi je dostatečně výkonný pro základní VPN Server.
Ačkoli je to skvělá cesta a osloví geekovskou stránku vašeho autora, má tento přístup několik nevýhod:
- Potřebujete Raspberry Pi, které se tomuto úkolu budete věnovat.
- Přidává to k projektu další úroveň učení, pokud s těmito zařízeními ještě nejste obeznámeni.
- Výkon VPN by mohl utrpět. Šifrování, zapouzdřování a dešifrování zpráv vyžaduje velký výpočetní výkon a malá zařízení, jako je toto, budou tuto práci vykonávat pomaleji než stroje plné velikosti.
Pokud vás tento přístup oslovuje, doporučujeme vám navštívit web PiVPN. Ukáže vám, jak nastavit OpenVPN na počítači Raspberry Pi s minimem rozruchu a starostí. Nebo se podívejte na toto video:
Nastavení serveru VPN v cloudové službě
Nastavení serveru VPN v cloudové službě eliminuje potřebu vlastního hardwaru. Nemusíte se nabourávat do svého směrovače ani vyčleňovat počítač, který by hrál roli serveru VPN. To může být pohodlná cesta.
Tento přístup má však i své nevýhody. Když nastavujete VPN Server v cloudové službě, děláte to tak, že nainstalujete software na virtuální počítač běžící na serverech cloudových služeb. To znamená, že váš server VPN bude pomalý, protože poběží na vzdáleném, simulovaném hardwaru.
To také znamená, že musíte cloudové službě zcela důvěřovat. Vše, co budete dělat, se bude odehrávat na jejich hardwaru s využitím jejich virtuálních strojů. Z toho vyplývá stejný problém jako při používání komerční služby VPN: musíte důvěřovat třetí straně.
Rozdíl je v tom, že komerční služby VPN se prodávají na základě svého závazku chránit vaše soukromí. Služby jako ExpressVPN a NordVPN mají své základny v jurisdikcích, kde jsou vaše práva na ochranu soukromí chráněna. Nelze je snadno přinutit, aby zaznamenávaly vaše aktivity a sdílely tyto informace s NSA, MI6 nebo kýmkoli jiným, kdo se vás snaží špehovat.
Cloudové služby mají zcela odlišný obchodní model a často sídlí v místech, jako jsou USA, kde vaše soukromí není dobře chráněno. Podle našeho názoru je pravděpodobnost, že cloudová služba bude vaše aktivity zaznamenávat sama nebo k tomu bude dotlačena místní vládou, mnohem vyšší než u špičkové komerční služby VPN.
Jak nastavit osobní server VPN na DigitalOcean
Jedním z podnětů k napsání tohoto článku bylo tvrzení na internetu, že je snadné a rychlé nastavit server VPN v cloudové službě. Když lidé tvrdili, že můžete mít VPN Server zprovozněný během 10 minut za pár dolarů měsíčně (nebo dokonce první rok zdarma), napadlo nás, že bychom to měli prozkoumat.
To, co jsme našli, nebylo povzbudivé.
Přístupy jsme našli FOSS VPN Server s názvem Algo. Algo se zdá být skvělým softwarem a funguje tak, jak je inzerováno. Zajišťuje šifrovanou komunikaci mezi vašimi zařízeními a serverem Algo VPN běžícím na platformách Amazon EC2, DigitalOcean, Microsoft Azure a dalších podobných službách.
Nezajišťuje však anonymitu a nepodporuje běžně používaný protokol OpenVPN.
Problémy nastávají při rychlých a snadných reklamacích. Pokud nejste počítačový technik se zkušenostmi s Linuxem, není nastavení Alga snadné ani rychlé. Vyžaduje přibližně 20 kroků, z nichž mnohé se provádějí v příkazovém řádku systému Linux. Nechali jsme zkušeného technika nastavit Algo na DigitalOcean a trvalo to asi 45 minut.
Abyste si udělali představu o tom, s čím se budete muset vypořádat, pokud se rozhodnete nainstalovat Algo na cloudovou službu, zde jsou vybrané snímky obrazovky z tohoto procesu.
Nejprve je třeba nastavit účet u služby (v tomto příkladu DigitalOcean):
Kliknutím na Get Started with a Droplet (verze virtuálního počítače DigitalOcean) jsme získali možnosti uvedené na dalším snímku obrazovky. Droplet se systémem Ubuntu 18.04 jsme vytvořili kliknutím na příslušné tlačítko a výběrem požadovaného plánu:
Po několika minutách čekání, kdy pro nás společnost DigitalOcean vytvořila Droplet, jsme měli k dispozici virtuální počítač se systémem Ubuntu 18.04 připravený k provozu:
Přihlásili jsme se do Dropletu a podle pokynů v úložišti Algo Github stáhli a rozbalili soubory Algo, nainstalovali jádro Algo a zbývající závislosti. Poté jsme otevřeli konfiguraci Algo.cfg a upravili jej tak, aby obsahoval seznam uživatelů, kteří se budou moci přihlásit k síti VPN:
S tím vším jsme spustili instalační program Algo a vybrali možnost DigitalOcean:
Instalační program Algo používá rozhraní API DigitalOcean k provedení většiny konfigurační práce, takže jsme se posadili a čekali asi 15 minut na dokončení instalace.
Jak je uvedeno v následujícím snímku obrazovky, existuje několik hodnot, které musíte zkopírovat z konzoly, jakmile instalátor dokončí svou práci. Bez nich nebudete moci později přidávat nové uživatele:
S tím je server Algo VPN nainstalován v dropletu DigitalOcean.
Teď už stačí jen ručně nakonfigurovat každé klientské zařízení, které se bude k serveru připojovat. V závislosti na zařízení může být nastavení klienta docela snadné, nebo ne tak snadné. Stejně jako v případě nastavení serveru najdete na stránce Algo Github odkazy na podrobnosti o nastavení klientů na různých populárních typech zařízení.
Když tento úkol dokončíte, budete mít plně funkční vlastní službu VPN. Bude se jednat o pomalou VPN. Budete muset věřit, že vás DigitalOcean nebude špehovat, jak jsme si řekli dříve. A protože má jen jeden server, bude mít ve srovnání s komerčními službami VPN omezené využití, ale bude vaše.
Přestože se v článcích hovoří o výhodách takového postupu, opravdu nevidíme mnoho důvodů, proč si vytvořit vlastní VPN pomocí cloudové služby, kromě cvičení pro zaryté techniky.
Závěr
Zřízení vlastní VPN má určité výhody z hlediska ochrany soukromí a bezpečnosti. Ty se nejvýrazněji projeví, když si VPN server nastavíte na vlastním hardwaru. V tomto článku jsme se podívali na tři způsoby, jak toho dosáhnout, z nichž dva zahrnují nastavení serveru na vlastním hardwaru.
Tato tabulka shrnuje výhody a nevýhody každého z těchto tří přístupů, stejně jako výhody a nevýhody použití komerční služby VPN.
Pros a proti pro nastavení vlastní sítě VPN
| Server VPN na vlastním směrovači | Server VPN na vlastním počítači | Server VPN v cloudové službě | Použití komerční služby. VPN služby | ||
| Chrání | Celou síť | Konkrétní zařízení | Konkrétní zařízení | Konkrétní zařízení nebo celou síť v závislosti na zvolené službě | |
| Soukromí | Není třeba důvěřovat třetím-stranám | Není třeba důvěřovat třetím stranámstranám | Cloudová služba by mohla zaznamenávat činnosti | Služba VPN by mohla zaznamenávat činnosti | |
| Zabezpečení | Dobrá | Dobrá | Nízká | Nejlepší | |
| Rychlost | Střední | Nízká | Nejpomalejší | Nejvyšší | Nejrychlejší |
| Snadnost nastavení | Střední | Nízká | Nízká | Vysoká | |
| Snadná údržba | Střední | Nízká | Nízká | Vysoká |
Jak jsme viděli, zřízení serveru VPN pro vlastní potřebu je sice možné, ale může s ním být hodně práce a vyžaduje mnohem více technických znalostí než pouhé objednání komerční služby VPN.
Pokud se rozhodnete jít touto cestou, nezapomeňte, že budete muset také nastavit klienty VPN pro každé zařízení, které chcete k serveru připojit. Pokud dokumentace k serveru VPN neobsahuje pokyny, které potřebujete, měli byste je být schopni najít pomocí rychlého vyhledávání na webu.
Pokud pro vás nastavení vlastní VPN není to pravé, doporučujeme vám podívat se na náš přehled nejlepších služeb VPN pro rok 2019. Abychom ti usnadnili rozhodování mezi nimi, uspořádali jsme je podle způsobu použití, tedy nejlepší VPN pro začátečníky, nejlepší pro streamování, nejlepší pro použití na mobilních zařízeních atd.
.