«Команда работает удалённо, нужно что-нибудь для безопасности» — с такого запроса начинается большинство разговоров о корпоративном VPN.
Но корпоративный VPN — это не то же самое, что личный VPN для обхода блокировок. Разные задачи, разные решения. Разберём, что реально нужно вашей команде, и как это настроить.
Зачем корпоративный VPN в 2026
Три основные задачи:
1. Защита при работе из публичных мест. Кафе, коворкинг, аэропорт — открытые сети опасны. VPN шифрует трафик, злоумышленник в той же сети не перехватит данные.
2. Доступ к внутренней инфраструктуре. Закрытая база данных, внутренний сервис, корпоративные инструменты — не выставляйте их в интернет. Через VPN сотрудник подключается как будто он в офисной сети.
3. Доступ к внешним сервисам. В 2026 году этот пункт для российских команд особенно актуален: GitHub (периодически замедляется), npm-репозитории, зарубежные инструменты.
Вариант 1: WireGuard (рекомендуем)
Что это: современный VPN-протокол с открытым исходным кодом. Быстрый, простой, надёжный.
Почему WireGuard:
- Скорость: значительно быстрее OpenVPN
- Простота: ~4000 строк кода vs ~100 000 у OpenVPN — меньше поверхности для атак
- Низкое потребление батареи на мобильных
- Встроен в ядро Linux с версии 5.6
Схема для команды:
Один VPS (Selectel/Timeweb) → WireGuard-сервер → сотрудники подключаются как клиенты.
Установка сервера (Ubuntu 22.04):
# Устанавливаем WireGuard
apt update && apt install wireguard -y
# Генерируем ключи сервера
wg genkey | tee /etc/wireguard/private.key | wg pubkey > /etc/wireguard/public.key
# Создаём конфиг
cat > /etc/wireguard/wg0.conf << EOF
[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = $(cat /etc/wireguard/private.key)
# PostUp/PostDown для NAT (интернет через VPN)
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
EOF
# Включаем IPv4 forwarding
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
sysctl -p
# Запускаем
systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0
Добавление сотрудника:
# Генерируем ключи для нового пользователя
wg genkey | tee employee1_private.key | wg pubkey > employee1_public.key
# Добавляем peer в конфиг сервера
wg set wg0 peer $(cat employee1_public.key) allowed-ips 10.0.0.2/32
# Конфиг для сотрудника (отправляем ему):
cat > employee1.conf << EOF
[Interface]
PrivateKey = $(cat employee1_private.key)
Address = 10.0.0.2/32
DNS = 8.8.8.8
[Peer]
PublicKey = $(cat /etc/wireguard/public.key)
Endpoint = ВАШ_IP_СЕРВЕРА:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25
EOF
Сотрудник импортирует этот файл в приложение WireGuard (есть для Windows, Mac, iOS, Android).
Стоимость: VPS от 500 ₽/месяц + время на настройку (~2 часа).
Ограничение: нет веб-интерфейса для управления (если не ставить отдельно).
Вариант 2: 3x-ui (WireGuard + VLESS/XRay с веб-панелью)
Если нужен WireGuard, но с удобным веб-интерфейсом для управления пользователями — 3x-ui отличный выбор.
Что даёт:
- Веб-панель для добавления/удаления пользователей
- Статистика трафика по пользователям
- Поддержка VLESS, VMess, Trojan + WireGuard
- QR-коды для быстрого подключения
Установка:
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)
После установки веб-панель доступна по адресу http://IP:2053.
Для кого: команды от 5 человек, где нужно удобно управлять доступами без знания Linux.
Стоимость: VPS от 700 ₽/месяц (нужен чуть помощнее для веб-панели).
Вариант 3: Outline
Что это: опенсорсный инструмент от Jigsaw (подразделение Google) на базе протокола Shadowsocks.
Плюсы:
- Самый простой в управлении — буквально 10 минут на настройку
- Есть Outline Manager — графическое приложение для управления ключами
- Хорошо работает при условиях нестабильного соединения
- Работает на любом VPS
Минусы:
- Медленнее WireGuard
- Нет нормальной маршрутизации для «туннеля в корпоративную сеть»
- Больше подходит для «обхода блокировок», чем для корпоративной безопасности
Для кого: небольшая команда (2–10 человек), задача — обходить блокировки и защититься в публичных сетях. Не подходит для доступа к внутренней инфраструктуре.
Установка на VPS:
bash -c "$(wget -qO- https://raw.githubusercontent.com/Jigsaw-Code/outline-server/master/src/server_manager/install_scripts/install_server.sh)"
После — устанавливаете Outline Manager на своём компьютере, вставляете ключ из консоли, и можете добавлять пользователей через GUI.
Вариант 4: Платные корпоративные сервисы
Если нет времени/желания заниматься самостоятельной настройкой:
NordVPN Teams / NordLayer — работает через VPN иностранной компании. Проблема: оплата (картой РФ сложно), данные за рубежом.
Kaspersky VPN — российский вариант, есть корпоративная версия, принимает рублёвые карты.
Российские корпоративные VPN (VipNet, КриптоПро) — серьёзные решения с российской криптографией. Нужны там, где это требуют регуляторы (госзаказ, банки, медицина).
Для кого: компании с требованиями регуляторов к криптографии, или там, где нет IT-ресурса для самостоятельной настройки.
Сравнение вариантов
| Вариант |
Стоимость/мес |
Сложность настройки |
Подходит для |
| WireGuard (вручную) |
500–1000 ₽ |
Средняя |
IT-команды |
| 3x-ui (с панелью) |
700–1500 ₽ |
Низкая |
Команды 5–50 чел |
| Outline |
500–1000 ₽ |
Очень низкая |
Маленькие команды |
| Платный сервис |
500–2000 ₽/чел |
Нет |
Нет IT-ресурса |
Безопасность: что ещё важно
VPN — это один уровень защиты. Полноценная безопасность включает:
Двухфакторная аутентификация — обязательно на всех корпоративных сервисах (почта, Git, CRM).
Политика паролей — менеджер паролей для команды (Bitwarden self-hosted, 1Password).
Сегментация доступа — каждый сотрудник должен иметь доступ только к тому, что нужно для работы. Не давайте всем доступ к production-базе.
Мониторинг подключений — знайте, кто и когда подключается к VPN. Это помогает обнаружить компрометацию аккаунта.
Про мониторинг инфраструктуры подробнее читайте в статье мониторинг веб-приложений.
Для команды разработчиков: отдельно про GitHub
GitHub периодически замедляется в России. Для разработчиков это боль — git push/pull становится мучением.
Три подхода:
- VPN для всей команды (описано выше) — самый простой
- Зеркало на российском сервере — GitLab self-hosted на Selectel/Timeweb, зеркалирование с GitHub
- Переезд на Gitea/GitLab — полностью автономный Git-сервер
Для большинства команд вариант с VPN — оптимальный. Зеркало нужно только если нужна полная независимость от доступности GitHub.
Итог
Рекомендации кратко:
- 2–5 человек, нужно просто и быстро → Outline
- 5–20 человек, нужна управляемость → 3x-ui на VPS
- IT-команда, нужна корпоративная сеть → WireGuard вручную
- Требования регуляторов или нет IT → платный корпоративный сервис
Настройка VPN для команды занимает от 2 часов (Outline) до полудня (WireGuard с нуля). Если хотите, чтобы всё было настроено правильно с первого раза — расскажите о своей команде.
Читайте также
