Johdanto – Miksi suojattu VPN-yhteys on tarpeellinen?
VPN-yhteys eli virtuaalinen erillisverkko on nykyaikaisen tietoturvan peruspilari, kun halutaan suojata verkkoliikenne esimerkiksi julkisissa Wi-Fi-verkoissa tai yhdistää etätyöympäristöön. Windows tarjoaa sisäänrakennetut työkalut VPN-yhteyden määrittämiseen, mutta pelkkä yhteys ei takaa turvallisuutta. Oikein konfiguroitu VPN salaa liikenteen, estää tietovuodot ja varmistaa, että arkaluonteiset tiedot pysyvät suojassa. Tässä artikkelissa käymme läpi, miten Windows-tietokoneelle luodaan turvallinen VPN-yhteys käyttäen luotettavia protokollia ja asetuksia. Ohjeet soveltuvat Windows 10:lle ja Windows 11:lle.
VPN-yhteyden lisääminen Windowsin asetuksiin
Windowsin oma VPN-asiakasohjelma on yksinkertainen, mutta tehokas. Voit lisätä uuden yhteyden suoraan Asetukset-sovelluksesta ilman kolmannen osapuolen ohjelmistoja. Toimi seuraavasti:
1. Avaa Asetukset painamalla Windows-näppäintä ja valitsemalla hammasratas-kuvakkeen tai kirjoittamalla "Asetukset" hakupalkkiin.
2. Siirry kohtaan Verkko ja internet ja valitse VPN vasemman reunan valikosta.

3. Klikkaa "Lisää VPN-yhteys" -painiketta.
4. VPN-palveluntarjoaja-kohdassa valitse "Windows (sisäänrakennettu)". Tämä takaa, että käytät järjestelmän omia protokollia ja asetuksia.
5. Kirjoita Yhteyden nimi -kenttään mikä tahansa tunniste, esimerkiksi "Työ-VPN" tai "Suojattu yhteys".
6. Palvelimen nimi tai osoite -kenttään syötä VPN-palvelimen IP-osoite tai verkkotunnus, jonka olet saanut palveluntarjoajalta tai työnantajaltasi.

7. VPN-yhteyden tyyppi -kohdassa valitse haluamasi protokolla. Turvallisimmat vaihtoehdot ovat L2TP/IPsec ja IKEv2. Näitä käsitellään tarkemmin seuraavissa osioissa.
8. Kirjautumistiedot-osiossa voit valita, tallennetaanko käyttäjätunnus ja salasana. Jos käytät esijaettua avainta (PSK) tai varmenteita, nämä määritetään myöhemmin edistyneissä asetuksissa.
9. Tallenna yhteys klikkaamalla "Tallenna". Tämän jälkeen yhteys näkyy VPN-listalla, ja voit muodostaa sen napsauttamalla nimeä ja valitsemalla "Yhdistä".
Yllä olevat vaiheet ovat perusta. Seuraavaksi on tärkeää tarkistaa ja optimoida suojausasetukset.

Suositellut suojatut protokollat
Windows tukee useita VPN-protokollia, mutta kaikki eivät ole yhtä turvallisia. Yleisimmät vaihtoehdot ovat PPTP, L2TP/IPsec, IKEv2 ja SSTP. PPTP on vanha ja heikko, joten sitä ei pidä käyttää missään tilanteessa, jossa tietoturva on tärkeää. SSTP on Microsoftin oma protokolla, joka on kohtuullisen turvallinen, mutta vähemmän läpinäkyvä kuin avoimet standardit. Parhaan suojan tarjoavat L2TP/IPsec ja IKEv2/IPsec, kun ne konfiguroidaan oikein. Alla oleva taulukko vertailee näitä kahta suositusvaihtoehtoa:
Protokolla | Turvallisuustaso | Nopeusvaikutus | Suositeltu käyttökohde
L2TP/IPsec | Korkea (vaatii esijaetun avaimen tai varmenteen) | Kohtalainen | Yleiskäyttö, yhteensopiva useimpien palvelinten kanssa
IKEv2/IPsec | Erittäin korkea (tukee varmenteita ja EAP-todennusta) | Korkea | Mobiilikäyttö, etätyö, korkean varmuuden ympäristöt

IKEv2 on modernimpi ja kestää paremmin verkkokatkoksia, joten se sopii erinomaisesti kannettaville tietokoneille, jotka vaihtavat usein verkon välillä. L2TP/IPsec on edelleen laajalti käytössä ja helppo määrittää, mutta vaatii huolellista avainten hallintaa.
L2TP/IPsec-yhteyden määrittäminen ja esijaettu avain
Jos valitset L2TP/IPsec-protokollan, sinun on määritettävä esijaettu avain tai vaihtoehtoisesti varmenne. Yleisin tapa yritysympäristöissä on käyttää esijaettua avainta (PSK). Tämä avain on merkkijono, jonka sekä asiakas että palvelin tuntevat. Sen avulla muodostetaan salattu IPsec-tunneli ennen varsinaista L2TP-yhteyttä. Määritä PSK seuraavasti:
Kun olet luonut VPN-yhteyden yllä kuvatulla tavalla ja valinnut tyypiksi L2TP/IPsec, avaa yhteyden lisäasetukset. Voit tehdä sen Asetukset-sovelluksessa klikkaamalla VPN-yhteyden nimeä ja valitsemalla "Lisäasetukset" tai "Muokkaa". Siirry sitten VPN-yhteyden ominaisuuksiin vanhan Ohjauspaneelin kautta: kirjoita hakupalkkiin "Ohjauspaneeli", valitse "Verkkoyhteyksien hallinta", napsauta VPN-yhteyttä hiiren kakkospainikkeella ja valitse "Ominaisuudet". Tämän jälkeen siirry Suojaus-välilehdelle ja valitse "IPsec-asetukset" tai "Lisäasetukset".
Rastita ruutu "Käytä esijaettua avainta todennukseen" ja kirjoita avain palveluntarjoajan antamaan kenttään. On tärkeää, että avain on riittävän pitkä ja monimutkainen – vähintään 16 merkkiä satunnaisia kirjaimia, numeroita ja symboleja. Koska PSK tallennetaan paikallisesti, varmista, että tietokoneesi on suojattu luvattomalta käytöltä. Jos palvelin edellyttää varmenteen käyttöä, voit määrittää sen erikseen, mutta se on työläämpää kotikäytössä.

L2TP/IPsec-yhteys on nyt valmis käytettäväksi, mutta seuraavat lisäasetukset parantavat turvallisuutta entisestään.
IKEv2/IPsec ja varmenteen käyttö
IKEv2-protokolla on nykyään suositeltu vaihtoehto erityisesti, jos käytössä on Windows 10 tai uudempi. Sen etuna on nopeampi uudelleenyhdistäminen verkon katketessa, mikä on tärkeää mobiilikäyttäjille. IKEv2 tukee useita todennusmenetelmiä, joista varmenneperusteinen on kaikkein turvallisin. Varmenteen avulla asiakas todentaa palvelimen ja toisin päin ilman yhteistä salaisuutta, mikä vähentää tietovuodon riskiä.
Jotta voit käyttää IKEv2:ta varmenteiden kanssa, tarvitset palvelimelta myönnetyn varmenteen, joka asennetaan tietokoneen varastoon. Useimmiten palveluntarjoaja toimittaa varmenteen erillisenä tiedostona. Asenna se kaksoisnapsauttamalla ja seuraa ohjeita. Tämän jälkeen luo VPN-yhteys kuten edellä, mutta valitse tyypiksi IKEv2. Kirjautumistiedoiksi voit jättää käyttäjätunnuksen ja salasanan tyhjiksi, jos käytetään vain varmenteita. Ominaisuuksissa varmista, että IPsec-asetuksissa käytetään varmenteita esijaetun avaimen sijaan.
IKEv2 mahdollistaa myös EAP-todennuksen, jossa käyttäjä kirjautuu käyttäjätunnuksella ja salasanalla varmenteen lisäksi. Yritysympäristössä tämä yhdistelmä on erittäin turvallinen. Kotikäyttäjän on kuitenkin helpompi aloittaa L2TP/IPsec PSK:lla, ellei palvelinpaketti vaadi IKEv2:ta.
Lisäasetukset: IPv6:n poistaminen ja yhdyskäytävän käyttö
VPN-yhteyden turvallisuutta voidaan parantaa muutamalla olennaisella lisäasetuksella. Kaksi tärkeintä ovat IPv6-protokollan poistaminen käytöstä VPN-yhteydessä sekä oletusyhdyskäytävän käytön säätäminen.





