USB passthrough: проброс USB флешки/устройства в виртуальную машину на VMWare ESXi
30.07.2020
itpro
VMware, Виртуализация
комментариев 12
На хосте VMWare ESXi вы можете пробросить подключенное к хосту локальное USB устройство/флешку/диск внутрь виртуальной машины. Эта технология называется USB Passthrough и доступна, начиная с ESXi 4.1.
Предположим, наша задача – пробросить в виртуальную машину локально подключенный к хосту ESXi 6.7 внешний USB 3.0 диск. Доступ к диску нужен для быстрого копирования данных напрямую из ВМ на отдельный USB диск.
Если вам нужно скопировать с/на ESXi iso или vmdk файлы с подключенного напрямую USB диска, следуйте другой инструкции — Подключение USB диска/флешки к хосту VMWare ESXi.
Особенности работы режима USB Passthrough в VMWare
Как вы уже поняли, режим Passthrough позволяет пробросить физическое устройство, подключенное к ESXi хосту, напрямую в гостевую ОС виртуальной машины. В режиме Passthrough (passing the device through) вы можете предоставить виртуальной машине прямой доступ к USB флешке/диску, модему, или целиком PCI/USB контроллеру.
Для проброса USB устройств в ESXi нужны несколько основных компонентов:
- Arbitrator – отдельный сервис на сервере ESXi, который выполняет сканирование подключенных физических USB устройств, отвечает за маршрутизацию трафика USB устройства между хостом и ВМ, управляет блокировкой доступа к устройству (только одна ВМ может использовать подключенное USB устройство). USB arbitrator одновременно может отслеживать до 15 USB контроллеров.
- USB контроллеры – USB контроллер должен быть установлен как на физическом хосте, так и на виртуальной машине.
Чтобы установить USB контроллер для ВМ на VMWare ESXi, откройте ее настройки и добавьте новое устройство — USB контроллер (USB controller). При добавлении USB контроллера нужно выбрать его тип:
- USB 2.0 (EHCI+UHCI) – контроллер с поддержкой USB 2.0 и USB 1.1 устройств;
- USB 3.0 (xHCI) – поддерживаются быстрые устройства USB 3.0, требуется версия virtual hardware 8 и выше.
Режим USB 3.0 доступен начиная с vSphere 5.5 patch 3. Для поддержки такого режима в гостевой ОС должен работать контроллер xHCI. Поддерживаются гостевые ОС начиная с Windows 8.1 / Windows Server 2012 R2 и Linux с ядром 2.6.35.
USB Passthrough: проброс USB устройства в ВМ на ESXi
В нативном режиме USB Passthrough вы можете подключить физическое USB устройство с хоста в виртуальную машину VMWare.
Основные требования и ограничения такого способа проброса:
- Virtual Hardware 7.0 или выше;
- Вы можете предоставить прямой доступ к USB устройству только одной ВМ;
- Максимально количество проброшенных USB устройств для одной ВМ – 20;
- Не поддерживается загрузка ВМ с USB.
После добавления виртуального USB контроллера для ВМ, вы можете пробросить подключенный к хосту USB диск.
- В настройках ВМ добавьте устройство Host USB device и нажмите Add;
- В выпадающем списке выберите подключенное USB устройство, которое нужно добавить;
- Для поддержки vMotion для ВМ с подключенным физическим USB диском нужно включить опцию “Support vMotion while device is connected”;
- После этого USB диск должен появится внутри гостевой ОС виртуальной машины.
Есть ряд ограничения vMotion для ВМ с проброшенным USB диском:
- Нельзя выключить ВМ или поставить на паузу. При включении такой машины ее нужно вручную смигрировать на хост, к которому подключено USB устройство;
- Не поддерживается режим DPM, т.к. vCenter может выключить хост с USB устройством для экономии электроэнергии;
- ESXi хосты с ВМ и физическим USB устройством должно быть доступны через vmk0 по порту TCP 902.
Если при добавлении нового USB устройства клиент vSphere пишет, что USB устройств не обнаружено (No available USB devices), значить ваш USB диск не поддерживается VMWare для проброса в таком режиме. Список совместимых USB устройств есть на сайте VMWare (он не очень большой). Смотрите секцию “USB Devices tested for Passthrough from an ESXi Host to a Virtual Machine in ESXi 6.7” в статье https://kb.vmware.com/s/article/1021345.
В этом случае вы можете с вашего ESXi хоста пробросить в ВМ USB контроллер целиком.
VMware PCI Passthrough (VMDirectPath): проброс USB контроллера в ВМ
Другой, менее удобный метод предоставления доступа из ВМ к физическому USB устройству – проброс целиком USB контроллера с ESXi хоста. Этот режим называется VMDirectPath. Для его использования чипсет сервера должен поддерживать Intel Directed I/O или AMD I/O Virtualization Technology (AMD IOMMU), и этот режим включен в настройках BIOS/UEFI.
Если на сервере установлен только один USB контроллер, при пробросе его в ВМ, вы не сможете использовать локально подключенные USB устройства хоста (клавиатуру, мышь). В этом случае лучше добавить в сервер дополнительный PCI USB контроллер.
Если на хосте имеется несколько USB контроллеров, вы можете идентифицировать подключенное USB устройство и номер контроллера через ESXi shell. Вывести список USB устройств:
lsusb -v | grep -e Bus -e iSerial
В выводе команду нужно найти строку USB накопителя, например:
Bus 002 Device 003: ID 0280:a00c Toshiba America Info. Systems, Inc.
Затем по номеру контроллера (Bus02 в этом случае) определяем root hub и его iSerial:
Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 3.0 root hub iSerial 1 0000:00:1D.0
Если вы не видите ваш USB диск, попробуйте подключить и отключить его физически и посмотреть в логе vmkernel.log, что служба USB Arbitrator определила ваш диск:
tail -f /var/log/vmkernel.log | grep -i USB
2019-12-03T12:06:12.546Z cpu0:33271)usb 4-2: new SuperSpeed USB device number 5 using xhci_hcd 2019-12-03T12:06:12.570Z cpu0:33271)usb 4-2: New USB device found, idVendor=0480, idProduct=b207 2019-12-03T12:06:12.570Z cpu0:33271)usb 4-2: New USB device strings: Mfr=1, Product=2, SerialNumber=3 2019-12-03T12:06:12.570Z cpu0:33271)usb 4-2: Product: External USB 3.0 2019-12-03T12:06:12.570Z cpu0:33271)usb 4-2: Manufacturer: TOSHIBA 2019-12-03T12:06:12.570Z cpu0:33271)usb 4-2: SerialNumber: 20180528012427F 2019-12-03T12:06:12.571Z cpu0:33271)usb 4-2: Vendor: 0x0480, Product: 0xb207, Revision: 0x0315 2019-12-03T12:06:12.571Z cpu0:33271)usb 4-2: Interface Subclass: 0x06, Protocol: 0x50 2019-12-03T12:06:12.571Z cpu0:33271)WARNING: LinScsiLLD: scsi_add_host:573: vmkAdapter (usb-storage) sgMaxEntries rounded to 255. Reported size was 65535 2019-12-03T12:06:12.571Z cpu0:33271)usb-storage 4-2:1.0: interface is claimed by usb-storage 2019-12-03T12:06:12.571Z cpu0:33271)usb 4-2: device is not available for passthrough 2019-12-03T12:06:12.571Z cpu0:33271)usb 4-2: usbfs: registered usb0405 2019-12-03T12:06:15.454Z cpu0:33207)usb-storage 4-2:1.0: suspended
Если USB диск не определяется ESXi хостом, проверьте что служба запущена:
#chkconfig usbarbitrator —list.
Соответственно, мы получили номер USB контроллера, который нужно пробросить в ВМ.
- Чтобы пробросить физический USB контроллер, выберите ESXi хоста, на котором запущена ваша ВМ и перейдите в раздел Manage ->Settings ->PCI Devices ->Edit;
- В списке PCI устройств найдите и выберите нужный USB контроллер по его ID (в моем примере 00:1D.0, контроллер называется C610/X99 series chipset USB Enhanced Host Controller #1 Intel Corporation);
- Статус USB контролера должен смениться с Unavailable (This device is not currently available for VMs to use) на Available (This device available for VMs to use). Нажмите Ок.
- Для сохранения изменений нужно перезагрузить хост ESXi.
- После загрузки хоста, выключите ВМ и добавьте новое PCI устройство (New Device ->PCI Device ->Add). В выпадающем списке выберите ваш USB контроллер (например 0000:00:1D| Intel Corporation USB Chipset…).
Если при добавлении PCI устройства в настройках ВМ появилось предупреждение: “Warning: The VM will not power on until its memory reservation equals its memory size”, нужно зарезервировать память для ВМ.
В режиме VMDirectPath вы можете пробросить в ВМ до двух PCI устройств.
На ВМ с прокинутым PCI устройством действуют ряд ограничений: вы не можете поставить ВМ на паузу (Suspend), выполнить vMotion на другой хост (логично, т.к. вы привязаны к физическому контроллеру, создавать снапшоты).
Как пробросить эцп на виртуальную машину
Проброс рутокен эцп 2.0 в виртуальную машину qemu-kvm
Здравствуйте. Установил Windows 7 на виртуалку qemu-kvm, задача пробросить рутокен эцп 2.0 в виртуальную машину для работы в интернет-клиенте россельхозбанка (работает только в internet explorer). Проблема в том что без остановки сервисов pcscd и pcscd.socket проброс не получается. Вот только вручную запускать команду не вариант, нужно как-то автоматизировать процесс, чтобы при запуске виртуалки службы останавливались, а при завершении работы запускались. Нашел вариант через libvirt — hooks, но не понял как правильно скрипт написать. Создал в директории /etc/libvirt/hooks/qemu/win7/started/begin файл скрипта с таким содержимым:
#!/bin/bash systemctl stop pcscd pcscd.socketно это не срабатывает. Может кто подскажет.
Как пробросить эцп на виртуальную машину
Рутокен ЭЦП 2.0 / 3.0 / Lite не пробрасывается в виртуальную машину при работе с гипервизором VMware ESXi 6.5 и выше
По умолчанию в ESXi, начиная с версии 6.5, отключена функция проброса смарт-карт (устройств с драйвером CCID).
Не пробрасываются Рутокен Lite и Рутокены семейства ЭЦП. При этом, устройства, работающие на собственном драйвере (например, Рутокен S) пробрасываются корректно.
Для включения проброса CCID устройств необходимо добавить следующее значение в конфигурационный файл виртуальной машины:
usb.generic.allowCCID = "TRUE"
Для включения проброса CCID-устройств воспользуйтесь одним из следующих способов:
С помощью vSphere
1) Откройте Web Client vSphere
2) Выберите нужную виртуальную машину и проверьте, что она отключена
Обратите внимание, что редактировать настройки работающей виртуальной машины нельзя. В противном случае, все внесенные вами изменения не сохранятся
3) Нажмите правой кнопкой мыши на название виртуальной машины и выберите пункт «Edit Settings. «
4) Выберите вкладку «VM Options» — пункт меню «Advanced» — кнопка «Edit Configuration. «
5) В поле «Name» введите значение: «usb.generic.allowCCID«, а в поле «Value»: значение «TRUE» — нажмите кнопку «Add» — «OK»
6) После внесения изменения включите виртуальную машину и проверьте проброс Рутокен
1) Откройте VMWare ESXi
2) Выберите нужную виртуальную машину и проверьте, что она отключена
Обратите внимание, что редактировать настройки работающей виртуальной машины нельзя. В противном случае, все внесенные вами изменения не сохранятся
3) Нажмите правой кнопкой мыши на название виртуальной машины и выберите пункт «Edit Settings. «
4) Выберите вкладку «VM Options» — пункт меню «Advanced» — кнопка «Edit Configuration. «
5) В столбец «Key» введите значение: «usb.generic.allowCCID«, а в столбец «Value»: значение «TRUE» — нажмите кнопку «OK»
6) После внесения изменения включите виртуальную машину и проверьте проброс Рутокен
Изменение конфигурационного файла *.vmx
- Выключите виртуальную машину
Обратите внимание, что редактировать файл .vmx во время работы виртуальной машины нельзя. В противном случае, все изменения, созданные вами, не сохранятся
usb.generic.allowCCID = "TRUE"
VirtualBox: Как прокинуть в виртуальную машину USB устройство
Данная статья предназначена специально для тех, кто хочет «прокинуть» напрямую в виртуальную машину под управлением VirtualBox USB устройство но не знает как. Этим устройством может быть что угодно — принтер, подключенный по USB, флешка, какой-либо USB токен (Рутокен, eToken) и т. д.
Во многих дистрибутивах Linux, для проброса USB устройств требуется дополнительная установка VirtualBox Extension Pack
- Включаем виртуальную машину и ждем окончания её загрузки.
- В верхнем меню VirtualBox находим пункт «Устройства«, и нажимаем на него. Там находим пункт «USB«, и тоже нажимаем на него.
- В раскрывшемся списке устройств находим нужное и нажимаем на него. После этого оно будет проброшено прямо в виртуальную машину.
При «пробросе» какого-либо USB устройства в виртуальную машину, оно перестает быть видимым в настоящей системе. Возможности заставить работать USB устройство одновременно в двух системах нет!
Однако, после перезагрузки USB устройство снова нужно будет пробрасывать в виртуальную машину, что может показаться утомительным. Для того, чтобы при каждом включении виртуальной машину устройство автоматом пробрасывалось, нужно проделать следующие действия:
- Открываем главное окно программы VirtualBox, и нажимаем правой кнопкой на нужной виртуальной машине. В появившемся меню выбираем пункт «Свойства«.
В свойствах переходим на вкладку под названием «USB».
- Если ваше устройство уже вставлено в компьютер, и нужно настроить его автоматический проброс, то нужно нажать на иконку с зеленым плюсом, которая находится в правой части окна. Там, в выпадающем списке нужно выбрать нужное USB устройство.
- Выбранное устройство появится в списке «Фильтр устройств USB», откуда его можно будет в любой момент либо удалить, либо выключить (просто нажав галочку). Теперь, для того, чтобы внесенные изменения вступили в силу, необходимо добавленное ранее USB устройство переподключить к компьютеру — для этого подойдет банальное физическое переподключение. Как только вы повторно подключите устройство к компьютеру, оно будет автоматически проброшено в виртуальную среду.
Как пробросить эцп на виртуальную машину
Сообщение cobion » 21 июн 2016 16:05
Доброго дня коллеги. Есть виртуализация коллекции сеансов из 4-х RDSH WS 2012 R2 на WS 2012 R2 Hyper-V.Требуется установить на каждый узел сеанса сертификаты личных ключей в КриптоПро для работы с некоторыми программами в ферме. В связи с чем есть два вопроса.
1.Как можно безболезненно пробросить USB флэшки с ключами для извлечения из контейнера сертификата в виртуальные узлы сеансов ?
2. Это еще пол дела, а вот как бы еще автоматизировать данный процесс, так как придется судя по всему ставить эти сертификаты на каждый узел сеансов либо выводя по узлу из фермы и вводя заново после установки сертификатов,либо mstsc /admin ?
Есть конечно режим ESM, но он почему то не видит мое USB устройство в виртуальной машине,хотя я и включил ESM НА хосте, непосредственно к хосту подключил USB флэшку и включил гостевой сервис на виртуалке. При чем заметил , когда переключаюсь в режим ESM и ввожу учетные данные, окно сеанса виртуалки темнеет и обратно выбрасывает меня на повторный ввод учетных данных. В базовом же режиме все работает как надо.
Что-то не правильно делаю ? Спасибо!
Почетный гражданин Сообщения: 176 Зарегистрирован: 22 апр 2016 07:26
Re: USB для Крипто Про в виртуальную машину.
Сообщение cobion » 23 июн 2016 07:38
Бог с ним с «пробросом» , решается банальным присоединением физического диска в виртуалку, так как ЭЦП на обычной флэшке записано. а не на Токене. Можно просто копирнуть содержимое на диск в виртуалку и импортировать ключи.
Теперь вопрос в другом, как унифицировать импорт ЭЦП для каждого пользователя в реестр своего профиля, если ферма состоит из 4-рех серверов и каждый узел сеансов должен иметь соответствующую ЭЦП.
На данный момент есть старые терминалки, где и работают пользователи и там уже импортированы некоторые ЭЦП.
Возможно ли как то экспортировать данные сведения об ЭЦП из реестра на новые узлы сеансов, да и как в дальнейшем поступить, либо пользователю приедтся четыре раза аутентифицироваться на каждом из узлов сеансов для того что бы можно было импортировать новую ЭЦП ?
Спасибо!
2 сообщения • Страница 1 из 1
- Серверные операционные системы
- ↳ Windows Server 2016
- ↳ Windows Server 2012/2012 R2
- ↳ Windows Server 2008/2008 R2
- Клиентские операционные системы
- ↳ Windows 10
- ↳ Windows 8/8.1
- Виртуализация
- ↳ Hyper-V
- ↳ App-V
- ↳ oVirt
- Управление IT-инфраструктурой
- ↳ System Center Operations Manager
- ↳ System Center Configuration Manager
- ↳ System Center Data Protection Manager
- ↳ System Center Virtual Machine Manager
- ↳ System Center Orchestrator
- ↳ System Center Service Manager
- ↳ Windows Group Policy
- ↳ Hewlett-Packard Management Software
- ↳ Icinga
- Сетевые службы
- ↳ Прокси-сервер Squid
- Системы управления базами данных
- ↳ SQL Server
- Объединенные коммуникации
- ↳ Exchange Server 2016
- ↳ Exchange Server 2013
- ↳ Exchange Server 2010
- ↳ Skype for Business Server 2015
- ↳ Lync Server 2013
- Веб-серверы и веб-порталы
- ↳ SharePoint Server
- Скриптинг и программирование
- ↳ Powershell
- ↳ VBScript
- Общий раздел
- ↳ Программное обеспечение
- ↳ Linux How-To
- ↳ Windows How-To
- ↳ Бесплатное программное обеспечение
- ↳ Аппаратное обеспечение
- ↳ Лицензирование
- ↳ Предложения и замечания
О нас
Этот форум создан исключительно для обмена субъективными мнениями между его участниками.
Он не отражает официальную позицию какой-либо организации, и поэтому вы спокойно можете высказывать здесь своё мнение по поводу программного или аппаратного обеспечения того или иного производителя, соблюдая при этом границы взаимного уважения.
Как пробросить видеокарту в Hyper-V в Windows 11 и 10
В ранних версиях Hyper-V для клиентских версий Windows 10 была возможность простого проброса дискретной видеокарты с помощью установки видеоадаптера RemoteFX. В актуальных версиях эта возможность исчезла, а документированный способ с помощью DDA (Discrete Device Assignment) подходит только для серверных версий системы. Однако, возможность подключения физической видеокарты компьютера в Hyper-V имеется.
Требования для подключения видеокарты в Hyper-V
Прежде чем приступить непосредственно к пробросу видеокарты, о том, какие условия должны выполняться для использования этой возможности:
- В виртуальной машине должна быть установлена Windows 10 (не ниже 20H1) или Windows Рекомендуется использование одинаковых версий системы (например, 22H2) на хосте и в виртуальной машине.
- Должно использоваться 2-е поколение виртуальной машины.
- После проброса создание контрольных точек будет недоступно (вариант решения будет представлен далее в статье). Если контрольные точки создаются автоматически, это может приводить к сбою виртуальной машины.
- Параллельная работа WSL (Windows Subsystem for Linux) и проброса видеокарты с использованием GPU-P может привести к сбоям (в частности, ошибка с кодом 43 в виртуальной машине).
Для проверки возможности использования видеокарты в Hyper-V посредством GPU Partitioning, вы можете использовать следующие команды PowerShell (от имени администратора), первая — для Windows 10, вторая — для Windows 11:
Get-VMPartitionableGpu
Get-VMHostPartitionableGpu
Если в результате выполнения команд вы видите список видеоадаптеров и информацию о них, можно продолжать.
Порядок проброса видеокарты в Hyper-V с помощью Easy-GPU-PV
Шаги для проброса видеокарты в Hyper-V:
- Выключите виртуальную машину, если она работает.
- Запустите Терминал или PowerShell от имени Администратора (правый клик по кнопке «Пуск» и выбор соответствующего пункта меню) и используйте следующие две команды для разрешения исполнения неподписанных скриптов:
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass
cd ПУТЬ_К_ПАПКЕ
Update-VMGpuPartitionDriver.ps1 -VMName "ИМЯ_ВИРТУАЛЬНОЙ_МАШИНЫ" -GPUName "AUTO"
$vm = "ИМЯ_ВИРТУАЛЬНОЙ_МАШИНЫ" if (Get-VMGpuPartitionAdapter -VMName $vm -ErrorAction SilentlyContinue) < Remove-VMGpuPartitionAdapter -VMName $vm >Set-VM -GuestControlledCacheTypes $true -VMName $vm Set-VM -LowMemoryMappedIoSpace 1Gb -VMName $vm Set-VM -HighMemoryMappedIoSpace 32Gb -VMName $vm Add-VMGpuPartitionAdapter -VMName $vm
Если всё прошло успешно, с большой вероятностью, эффект от использования видеокарты в виртуальной машине вы увидите сразу — например, будут включены эффекты прозрачности и скругленные углы в Windows 11, отключенные в Hyper-V по умолчанию. Но следует учитывать, что при использовании видеокарты в Hyper-V есть некоторые особенности.
Особенности работы видеокарты в Hyper-V
Сначала о базовых нюансах после успешного проброса видеокарты в виртуальную машину Hyper-V:
-
При обновлениях драйвера видеокарты на хосте, используйте команду (при выключенной виртуальной машине)
Update-VMGpuPartitionDriver.ps1 -VMName "ИМЯ_ВМ" -GPUName "AUTO"
Remove-VMGpuPartitionAdapter -VMName "ИМЯ_ВИРТУАЛЬНОЙ_МАШИНЫ" Add-VMGpuPartitionAdapter -VMName "ИМЯ_ВИРТУАЛЬНОЙ_МАШИНЫ"
Теперь о более насущных вещах, таких как работа игр и других программ, требующих ускорение видеокарты для работы:
- Игры и ПО, использующие API Vulkan, работать не будут, даже после установки VulkanRT.
- Некоторые игры и приложения OpenGL также могут не работать. В некоторых случаях может помочь установка OpenCL and OpenGL Compatibility Pack из Microsoft Store в виртуальной машине.
- Игры и ПО, принудительно выполняющие проверку совместимости графического оборудования при запуске, могут не запуститься, поскольку информация о подключенной видеокарте, отдаваемая гостевой системой, будет отличаться от таковой при её же использовании на хосте.
В моем тесте (Ноутбук, Windows 11 22H2, NVIDIA RTX 3060) проброс видеокарты удалось успешно выполнить. В дальнейшем для подключения к виртуальной машине использовались стандартные средства Hyper-V. Был опробован запуск:
- Небольшие любительские проекты на Unity и Unreal Engine с использованием RTX — успешно, всё работает без каких-либо проблем, при 30 FPS (ограничение подключения).
- Создание RAM-диска в памяти видеокарты из виртуальной машины — работает.
- Браузерные приложения, требующие аппаратного ускорения — работают отлично.
- Quake 2 RTX — без результата, так как используется Vulkan, а поддержка этого API отсутствует.
- Технологические демо от NVIDIA — неудачно, активно проверяют установленное оборудование при запуске.
Надеюсь, для кого-то из читателей инструкция будет полезной, а видеокарта в Hyper-V будет работать для выполнения актуальных задач.
А вдруг и это будет интересно:
- Лучшие бесплатные программы для Windows
- Как разрешить обычному пользователю запускать программу от имени Администратора без ввода пароля
- Как выйти из полноэкранного режима в Windows
- Как включить компактный вид панели быстрых настроек Windows 11
- Шрифты в интерфейсе Chrome стали более жирными и размытыми — как исправить?
- Msftconnecttest.com — что это и как исправить возможные ошибки
- Windows 11
- Windows 10
- Android
- Загрузочная флешка
- Лечение вирусов
- Восстановление данных
- Установка с флешки
- Настройка роутера
- Всё про Windows
- В контакте
- Одноклассники
-
serg 24.05.2023 в 14:23
- Dmitry 25.05.2023 в 09:31
- Dmitry 04.06.2023 в 11:57
Как запустить VPN через виртуальную машину
Anton Poshev | обновлено 02.03.24
Запускаем ВПН на виртуальной машине и создаём раздельное туннелирование вручную.
#1
VPN #1 по рейтингу пользователей апрель 2024
развернуть
Клиентское устройство — самое слабое звено в цепи. Мы предлагаем надёжное решение: полноценный «сетевой карантин» в связке VPN + виртуальная машина. Изоляция процессов в VM/ВМ реализует концепцию безопасной «песочницы» в пределах одного компьютера. Мы познакомим вас с этим лайфхаком. Расскажем, насколько виртуализация дополняет стандартный функционал VPN и объясним, как всем этим пользоваться, а выбрать лучший VPN вы можете в нашим отдельных подборках.
Что даёт связка ПК с VPN + виртуальная машина
- Лучший VPN для ПК и ноутбуков с Windows;
- Лучший VPN для Андроид.
Виртуальный ПК получает весь функционал родительской системы, включая подключение к сети, пользовательские программы, игры и так далее. Функциональность виртуального клона упирается только в мощность «железа», объём оперативной памяти и свободного места на диске.
Какие опции открывает связка VPN + VM:
- VPN-цепочка с одним поставщиком услуг (бесплатный аналог Double VPN даже с провайдерами, которые его не поддерживают )
- VPN-цепочка с разными поставщиками услуг
- бесплатное раздельное туннелирование на стороне ПК без дополнительных настроек (как настроить раздельное туннелирование в VPN приложении)
- двойная, тройная и более авторизация в различных программах и онлайн-порталах
Такая схема разрешает одновременно подключаться к разным серверам одного и того же VPN провайдера. Настраивать подключение с разными протоколами. Комбинировать базовые тарифные планы разных провайдеров, чтобы создавать цепочку из 2–3 (или больше) VPN-серверов вместо покупки дорогих готовых тарифов Double/Triple VPN.
Преимущества комбинации VPN с виртуальной машиной
Такая связка поднимает уровень безопасности и конфиденциальности на уровень, недостижимый ни для одного VPN поодиночке, исключая премиум.
Виртуальная машина может стать домом для самых продвинутых операционных система с точки зрения безопасности, например:
- Linux Kodachi
- Qubes
- Whonix
- Tails
- Kali Linux
Запуская соединение из такой «песочницы», вы можете смело гулять по самому опасному контенту (например, ходить на сайты без https, проверять вызывающие подозрения ссылки, полученные по почте или в мессенджерах) без риска. Естественно, за пределами основного аккаунта.
Что касается VPN-цепочек, для этих целей доступны разные схемы:
- хост + провайдер №1 на роутере + настольный клиент от провайдера №2 + чистая VM
- чистый хост + любое количество VPN провайдера №1 на разных комнатах внутри ВМ
- хост с настольным приложением от провайдера №1 + расширение для браузера от провайдера №2 + настольный VPN клиент на ВМ от провайдера №3
А если в третью схему добавить настройки для роутера от провайдера №4 и расширение для браузера от провайдера №5, трафик пойдёт уже через сервера 5 разных ВПН-сервисов одновременно. В бытовых условиях такие предосторожности порадуют только пользователей с острой стадией паранойи.
Но безопасное пространство для тестов и экспериментов без риска что-то сломать на основной системе тоже никому не помешает.
Гораздо чаще связку VPN + VM применяют для комфортного и функционального раздельного туннелирования на стороне ПК. Стандартное VPN-подключение шифрует всю сеть целиком, не оставляя скрытых каналов связи. Это не всегда удобно. Часто даже мешает. Для решения проблемы провайдеры услуг дают опцию «раздельное туннелирование», которая распределяет трафик по каналам между реальным IP и виртуальный подсетью.
Но прикручивать отельные URL или программы к VPN – квест не для простого обывателя, и подобную услугу предоставляют не все VPN-сервисы. В связке VPN + VM колдовать с настройками не надо. Запускаешь программу и получаешь отдельную комнату с персональной защищенной ОС внутри. Домашняя сеть «чистая». На виртуальной ОС – подключение через ВПН. Не нужно перекраивать настройки домашней ОС, рискуя сделать хуже.
Как подключить VPN на ВМ
Есть много разного софта для организации виртуальных машин – KVM, VMware, VirtualBox, ESXi, XEN, Hyper-V. По сути делают одно и то же, но отличаются уровнем абстракции и сложностью настройки/обслуживания. Самый популярный вариант для обычного пользователя – Virtualbox. Запускается и работает как простая программа на рабочем столе хоста.
Поэтому рассмотрим, как поднять VPN внутри ВМ на примере Virtualbox.
1. Перейдите на сайт разработчика, скачайте программу.
Установите обычным способом. Если не разбираетесь в параметрах — не страшно, оставляйте все настройки по умолчанию.
2. Создайте виртуальный хост
Откройте программу. Нажмите «создать» в рабочем окне.
Дайте имя системе. Выберите ОС из предложенного списка. Если нужного не оказалось, выберите тип и разрядность системы, которую будете ставить (например, Linux 64-bit).
В следующем окне выберите объём оперативной памяти. Программа предложит минимальный показатель, в зависимости от выбранной ОС. Можете дать больше, но виртуальная машина должна получить не более 50% от доступного объёма. Иначе памяти не хватит для адекватной работы ПК.
Аналогичным способом выделите дисковое пространство. После выбора «Создать виртуальный жесткий диск» появится окно с дополнительными параметрами. Игнорируйте, со стандартными настройками всё тоже заработает замечательно. Сохраните изменения.
3. Установите виртуальную ОС
После создания виртуальной машины, найдите вкладку «Запустить».
Система сразу предложит выбрать путь к ISO образу.
Его нужно скачать заранее.
Процесс идентичен стандартной установке ОС на реальный ПК. Загружайтесь в Live-режиме, открывайте загрузчик и следуйте инструкции.
После установки, можно настраивать рабочее окружение — выбрать комфортное разрешение, установить базовый софт.
4. Настройка сети.
В свежих версиях VirtualBox (6.1 и младше) сеть подхватится автоматически через встроенный механизм NAT. Система сама найдёт соединение физической хост-машины, создаст виртуальный адаптер и подтянет нужные настройки. Откройте браузер, попробуйте выйти в сеть, чтобы удостовериться.
В нашем случае всё работает. Если этого не произошло, поищите настройку для своей версии программы в сети.
Кроме NAT, VB предлагает альтернативные варианты подключения к сети, например:
- сетевой мост
- локальная сеть
- адаптер другой виртуальной машины
- облако
Опытные пользователи иногда используют возможности встроенного в роутер DHCP-сервера для создания сложной подсети и мостового соединения. Например, когда нужен полноценный удалённый доступ к виртуальной машине с другого ПК. В случае с NAT, каждая виртуальная машина подключится напрямую к физическому хосту как обычная программа и получит его IP.
В случае с мостовым соединением через DHCP, у каждой виртуальной машины будет своя «маска» — уникальный внутренний IP подсети.
Но обычным пользователям не стоит заботиться на этот счёт.
Во-первых, этот способ сложен в настройке. Во-вторых для обычного подключения на локальной машин, особых профитов перед NAT нет — VPN всё равно спрячет и зашифрует канал. В-третьих, при мостовом соединении, к каждой виртуальной машине открывается выделенный канал для доступа удалённо, что создаёт больше рисков в плане безопасности.
Проще говоря, пользуйтесь базовым подключением NAT — этого более, чем достаточно.
5. Установите VPN на виртуальную машину.
Для этого вам нужно:
- скачать настольный клиент
- установить расширение для браузера
Либо и то и другое, как больше нравится. В первом случае зайдите на официальный сайт провайдера из виртуального пространства.
Скачайте и установите клиент обычным способом.
Либо найдите расширение и добавьте его в браузер, запущенный внутри виртуальной ОС.
Регистрация, оплата, подключение — всё как обычно. ВПН выбирайте на свой вкус — список лучших платных VPN у нас уже есть. Бесплатные не рекомендуем — они медленные, часто спамят рекламой, ведут логи и хранят их на своих серверах, собирают и продают вашу информацию (история посещений, поведенческие факторы и тому подобное) третьим лицам для заработка. Расширенные настройки недоступны.
В каких VPN мы уверены:
- ExpressVPN. Самый быстрый. Для комфортного гейминга и стримов. Работает с Tor-браузером, есть автоматическая маскировка IP при наличии блокировок VPN-трафика интернет-провайдером или со стороны сайта.
- Surfshark. Фирменные технологии маскировки IP «Camouflage Mode» и «NoBorders», динамическая ротация IP-адресов, кроссплатформенность — есть удобный графический интерфейс для Linux для комбинирования нескольких ОС на виртуальной машине.
- NordVPN. Самый надёжный. Единственный даёт надёжное соединение в Китае. Можно поднять сеть на стороне роутера для всех устройств (больше в статье лучшие VPN для роутеров) или отдельно на клиентском устройстве/в браузере (список лучших VPN для браузеров).
- PureVPN. Самая обширная база «белых» IP, платные статические адреса (смотрите наш список лучших VPN со статическим выделенным IP), недорогие базовые пакеты услуг, оптимизированные сервера для стриминга и торрентов, встроенная маскировка IP. Есть удобный графический клиент для Linux.
- IvacyVPN. Очень простое и удобное приложение, приятные тарифные планы. Встроенная маскировка и защита от DDoS. Выделенные P2P сервера для торрентов и стриминга.
Запускайте любой и не беспокойтесь. После ввода регистрационных данных, включайте сеть. Экспериментируйте, комбинируйте разных провайдеров или используйте одновременно разные сервера и протоколы, тестируйте разные настройки. Наслаждайтесь анонимностью и безопасностью на высочайшем уровне.