Можно ли соединиться с VPN через VPN?

Question

[airbor]

Если взять и соединиться через одно приложение VPN и затем еще и через второе то это получается тоннель VPN внутри VPN или просто переподключение с одного на другой?

Если их два то получается даже через VPN сервис уже идет трафик, зашифрованный другим VPN сервисом. Первый VPN не знает куда ты подключаешься, а второй не знает откуда ты подключаешься и содержимое данных. Все верно?

Answer 1

[АртемЪ]

Можно.
VPN это приватная сеть использующая в качестве транспорта существующую сетевую инфраструктуру.
Вы подключаетесь к VPN1 - трафик VPN сети будет идти через существующее подключение.
Вы подключаетесь к другой VPN сети, указываете в качестве шлюза сервер в сети VPN1 и сеть VPN1 будет использоваться в качестве транспорта для трафика второй VPN.
Можно делать как угодно много уровней вложенности, если конечно транспорт поддерживает все нужные протоколы и ресурсов оборудования хватает.

Первый VPN не знает куда ты подключаешься, а второй не знает откуда ты подключаешься и содержимое данных. Все верно?

Не верно. Оба знают откуда и куда вы подключаетесь.

Answer 2

[Markus Saar]

Отвечая на первую часть вашего вопроса: для запуска одного и другого приложения VPN вам потребуется разграничить их работу. Например, один VPN настроить на роутере, а другой запускать на компьютере. Либо один запустить в рамках основной операционной системы, а второй запустить внутри виртуальной машины на этом же компьютере.

Про вторую часть вопроса: почти так. Один VPN не будет знать, откуда вы соединяетесь, но другой может об этом знать, если такие вещи интересуют владельцев сервиса. Читайте их политику конфиденциальности, изучайте репутацию.

Подытожив, могу сказать, что большого смысла в двух VPN нет. Вы замедлите свою интернет-скорость, а значительного повышения приватности не получите.

Другое дело, если первый VPN-сервер будет ваш собственный, а дальше уже с него подключаться к VPN-сервису для более широкого выбора серверов, IP-адресов и т.д. В итоге схема может быть такой: свой VPN подключен на роутере, а на компьютере уже установлена программа VPN-сервиса.

Но подумайте, действительно ли вам требуется такая параноидальная схема, или лучше позаботиться о других местах, где приватность страдает значительно сильнее? В начале этого года публиковал на Хабре, почитайте: Не VPN-ом единым. Шпаргалка о том, как обезопасить....

Answer 3

[saniii]

Отвечая на второй вопрос такая схема называется Parallel VPN, когда ip меняется дважды и трафик шифруется внурти "второго" vpn.

Answer 4

[ValdikSS]

Если речь об OpenVPN, достаточно у первого VPN в конфигурационном файле либо добавить:

route-nopull
route IP-ПЕРВОГО-VPN-СЕРВЕРА 255.255.255.255 net_gateway
route IP-ВТОРОГО-VPN-СЕРВЕРА 255.255.255.255 vpn_gateway

либо убрать redirect-gateway, если он есть.
Подключиться к первому VPN, подключиться ко второму. Всё будет работать.

Comments

[Hosar]

Для наглядности.

Answer 5

[Karpion]

VPN - это инкапсуляция трафика (вот какие умные слова я знаю!), почти прозрачное для вышележащих протоколов (там бывают проблемы с MTU - вот они вышележащим протоколам видны). Соответственно, нет никакой принципиальной невозможности повторной инкапсуляции; правда, не все программы организации VPN-туннеля это могут. А если настраивать это ручками - то надо хорошо понимать, как должен направляться трафик - чтобы после инкапсуляции не получилось повторного направления пакета на ту же самую инкапсуляцию.

А можно настроить систему так, что мы просто соединяемся по VPN с двумя разными точками. Например, мне дают доступ в две корпоративные сети с "серыми" IP-адресами типа 192.168.*.*, и я подключаюсь сразу к обеим.

Я советую почитать про SSh, на Хабре была статья. Там описывается проброс SSh-туннеля через несколько серверов.

Вы спрашиваете:

Первый VPN не знает куда ты подключаешься, а второй не знает откуда ты подключаешься и содержимое данных. Все верно?

Нет, неверно. Первый VPN не знает, куда ты подключаешься, и содержимое данных. Второй VPN не знает, откуда ты подключаешься; но содержимое данных он знает (если только оконечный сервер не использует что-то типа HTTPS) - ведь он должен отправить их серверу.

Ну и разумеется, если VPN-провайдеры сговорятся, то они легко сопоставят Ваши коннекты. По идее - хорошо бы иметь VPN-провайдеров в разных юрисдикциях, но и это не даёт гарантии.
Собственный VPN-сервер - это хорошо. Но владелец хостингалегко может это дело похаать, особенно если используются стандартные общеизвестные методы. А нестандартные - ненадёжны, их могут хакнуть анализом трафика (впрочем, стандартные - тоже могут хакнуть анализом трафика).
Тут весь вопрос в том, какие силы будут брошены на расследование. Пока помогает "принцип Неуловимого Джо".