پروتکل های VPN امن شامل موارد زیر است:
• امنیت پروتکل اینترنت (IPsec) در اصل توسط کارگروه مهندسی اینترنت (IETF) برای IPv6 ساخته شده است ، که قبل از توصیه RFC 6434 در تمام استانداردهای سازگار IPv6 لازم است. این پروتکل امنیتی مبتنی بر استانداردها همچنین به طور گسترده ای با IPv4 و پروتکل تونل سازی لایه 2 مورد استفاده قرار می گیرد. طراحی آن بیشترین اهداف امنیتی را برآورده می کند: در دسترس بودن ، یکپارچگی و رازداری. IPsec از رمزگذاری استفاده می کند ، یک بسته IP را درون یک بسته IPsec قرار می دهد. کپسول زدایی در انتهای تونل اتفاق می افتد ، جایی که بسته IP اصلی رمزگشایی شده و به مقصد مورد نظر خود هدایت می شود.
• Transport Layer Security (SSL / TLS) می تواند تمام ترافیک شبکه را تونل کند (مانند پروژه OpenVPN و پروژه SoftEther VPN) یا اتصال جداگانه ای را ایجاد کند. بسیاری از ارائه دهندگان قابلیت های VPN را برای دسترسی از راه دور از طریق SSL فراهم می کنند. SSL VPN می تواند از مکانهایی متصل شود که IPsec در ترجمه آدرسهای شبکه و قوانین دیوار آتش مشکل دارد.
• Datagram Transport Layer Security (DTLS) - مورد استفاده در Cisco AnyConnect VPN و OpenConnect VPN برای حل مشکلاتی که SSL / TLS با تونل TCP دارد (تونل TCP از طریق TCP می تواند منجر به تاخیر طولانی و قطع اتصال شود).
• رمزگذاری Microsoft Point to Point (MPPE) با پروتکل نقطه به نقطه Tunneling و در چندین پیاده سازی سازگار در سیستم عامل های دیگر کار می کند.
• پروتکل نقطه به نقطه پروتکل مایکروسافت (SSTP) پروتکل نقطه به نقطه (PPP) یا پروتکل تونل سازی لایه 2 از طریق کانال SSL / TLS (SSTP در Windows Server 2008 و Windows Vista Service Pack 1 پیاده سازی شده است).
• شبکه خصوصی مجازی چند راهی (MPVPN). شرکت توسعه سیستم های راگولا دارای مارک تجاری ثبت شده "MPVPN" است.
• VPN Secure Shell (SSH) - OpenSSH تونل VPN (به غیر از انتقال پورت) را برای تأمین اتصالات از راه دور به شبکه یا اتصال به اتصالات ارائه می دهد. سرور OpenSSH تعداد محدودی تونل همزمان را فراهم می کند. ویژگی VPN خود تأیید اعتبار شخصی را پشتیبانی نمی کند.
• WireGuard یک پروتکل است. در سال 2020 ، پشتیبانی از WireGuard به Linux و Androidkernel اضافه شد ، که این امر باعث پذیرش ارائه دهندگان VPN می شود. به طور پیش فرض ، WireGuard از Curve25519 برای تبادل کلید و ChaCha20 برای رمزگذاری استفاده می کند ، اما همچنین شامل توانایی اشتراک اولیه کلید متقارن بین سرویس گیرنده و سرور نیز می باشد. تقریباً تمام VPN های تجاری این پروتکل را به عنوان پیش فرض خود پذیرفته اند.
احراز هویت
قبل از ایجاد تونل های VPN ایمن باید نقاط پایانی تونل احراز هویت شوند. VPN های دسترسی از راه دور ایجاد شده توسط کاربر می توانند از رمزهای عبور ، بیومتریک ، احراز هویت دو عاملی یا سایر روش های رمزنگاری استفاده کنند. تونل های شبکه به شبکه اغلب از رمزهای عبور یا گواهینامه های دیجیتالی استفاده می کنند. آنها کلید را به طور دائمی ذخیره می کنند تا تونل به طور خودکار و بدون هیچ گونه مداخله ای از سوی مدیر تاسیس شود
مسیریابی
پروتکل های تونل زنی می توانند در یک توپولوژی شبکه به نقطه ای کار کنند که از نظر تئوری VPN در نظر گرفته نشود ، زیرا طبق تعریف پیش بینی می شود VPN از مجموعه های تصادفی و متغیر گره های شبکه پشتیبانی کند. اما از آنجا که اکثر پیاده سازی های روتر از یک رابط تونل تعریف شده توسط نرم افزار پشتیبانی می کنند ، VPN های ارائه شده توسط سرویس گیرنده اغلب تونل هایی هستند که پروتکل های معمول مسیریابی را اجرا می کنند.
گرافیک VPN ارائه شده توسط ارائه دهنده
بسته به اینکه VPN (PPVPN) تهیه شده در لایه 2 یا 3 کار کند ، بلوک های ساختاری شرح داده شده در زیر ممکن است فقط L2 ??، فقط L3 یا ترکیبی از هر دو باشد. ویژگی Multi-Protocol Label Switching (MPLS) هویت L2-L3 را پنهان می کند.
RFC 4026 برای پوشش VPN های L2 MPLS و L3 (BGP) اصطلاحات زیر را خلاصه می کند ، اما آنها در RFC 2547 معرفی می شوند.
دستگاه های مشتری (C)
دستگاهی که در شبکه مشتری است و مستقیماً به شبکه ارائه دهنده خدمات متصل نیست. دستگاه های C از VPN اطلاع ندارند.
دستگاه مشتری (CE)
دستگاهی در لبه شبکه سرویس گیرنده که امکان دسترسی به PPVPN را فراهم می کند. گاهی اوقات این فقط یک نقطه تمایز بین مسئولیت تأمین کننده و مشتری است. سایر ارائه دهندگان به مشتریان امکان پیکربندی آن را می دهند.
دستگاه نهایی تأمین کننده (PE)
دستگاه یا مجموعه ای از دستگاه ها واقع در لبه شبکه ارائه دهنده که از طریق دستگاه های CE به شبکه های مشتری متصل می شوند و نمای ارائه دهنده سایت سایت مشتری را ارائه می دهند. PE ها از VPN هایی که از طریق آنها متصل می شوند و حالت VPN را حفظ می کنند آگاه هستند.
دستگاه تأمین کننده (P)
دستگاهی که در شبکه اصلی ارائه دهنده کار می کند و با هیچ نقطه پایانی مشتری رابط مستقیم ندارد. به عنوان مثال ، این می تواند مسیریابی بسیاری از تونل هایی را که توسط فروشندگانی اداره می شوند و متعلق به PPVPN هستند برای مشتریان مختلف فراهم کند.