Чтобы понять, что такое VPN, достаточно расшифровать и перевести эту аббревиатуру. Под нею понимают «виртуальную частную сеть», объединяющую отдельные компьютеры или локальные сети с целью обеспечения секретности и защищенности передаваемой информации. Эта технология предполагает установку соединения с особым сервером на базе сети общего доступа при помощи специальных программ. В результате этого в существующем соединении появляется канал, надежно защищенный современными алгоритмами шифрования. Иными словами, VPN - это соединение по схеме «точка-точка» внутри незащищенной сети или над нею, которое представляет собой защищенный туннель для обмена информацией между пользователями и сервером.
Понимание того, что такое VPN, будет неполным без уяснения его ключевых свойств: шифрования, аутентификации и контроля доступа. Именно эти три критерия отличают VPN от обыкновенной корпоративной сети, функционирующей на базе общедоступных соединений. Воплощение в жизнь приведенных свойств дает возможность защищать компьютеры пользователей и серверы организаций. Информация, которая проходит по материально незащищенным каналам, становится неуязвимой к воздействию внешних факторов, исключается вероятность ее утечки и незаконного использования.
Поняв, что такое VPN, можно переходить к рассмотрению его подвидов, которые выделяются на основе используемых протоколов:
В предыдущих разделах говорилось о том, что такое VPN с технической точки зрения. Теперь следует взглянуть на эту технологию глазами пользователей и разобраться, какие конкретные преимущества она в себе несет:
Виртуальные частные сети чаще всего применяются:
Пользователи, которые уже знают, что такое VPN-соединение, часто задаются целью самостоятельно его настроить. Пошаговые инструкции по настройке защищенных сетей под различные операционные системы можно найти повсеместно, однако в них не всегда упоминается один важный момент. При стандартном VPN-соединении главный шлюз указывается для VPN-сети, вследствие чего интернет у пользователя пропадает или подключается через удаленную сеть. Это создает неудобства, а иногда приводит к лишним расходам на оплату двойного трафика. Чтобы избежать неприятностей, необходимо сделать следующее: в настройках сети найти свойства TCP/IPv4 и в окне дополнительных настроек убрать отметку, позволяющую применение главного шлюза в удаленной сети.
В этой статье мы ответим на самые частые вопросы что такое VPN сервер, расскажем может ли VPN повысить вашу безопасность, нужно ли использовать Double VPN и как проверить ведет ли VPN сервис логи, а также какие современные технологии существуют для защиты личной информации.
VPN – это виртуальная частная сеть, которая обеспечивает шифрование между клиентом и VPN сервером.
Основное предназначение VPN - это шифрование трафика и смена IP адреса.
Давайте разберемся для чего и когда это нужно.
Все Интернет-провайдеры логируют деятельность своих клиентов в сети Интернет. То есть Интернет-провайдер знает какие сайты вы посещали. Это нужно для того, чтобы в случае запросов из полиции выдать всю информацию о нарушителе, а также снять с себя всю юридическую ответственность за действия пользователя.
Существует множество ситуаций, когда пользователю необходимо защитить свои личные данные в сети Интернет и получить свободу общения.
Пример 1. Есть бизнес и необходимо передавать конфиденциальные данные через Интернет, чтобы никто не смог их перехватить. Большинство компаний использует технологию VPN для передачи информации между филиалами компаний.
Пример 2. Многие сервисы в Интернете работают по принципу географической привязки к местности и запрещают доступ пользователям из других стран.
Например, сервис Яндекс Музыка работает только для IP адресов из России и стран бывшего СНГ. Соответственно все русскоязычное население, проживающее в других странах не имеет доступа к этому сервису.
Пример 3. Блокировка определенных сайтов в офисе и в стране. Часто в офисах блокируют доступ к социальным сетям, чтобы работники не тратили рабочее время на общение.
Например, в Китае заблокированы многие сервисы Google. Если житель Китая работает с компанией из Европы, то возникает необходимость в использовании таких сервисов как Google Disk.
Пример 4. Скрыть посещенные сайты от Интернет-провайдера. Бывают случаи, когда нужно скрыть список посещенных сайтов от Интернет-провайдера. Весь трафик будет зашифрован.
Благодаря шифрованию трафика ваш Интернет-провайдер не узнает, какие сайты вы посещали в Интернете. При этом ваш IP адрес в Интернете будет принадлежать стране VPN сервера.
При подключении к VPN создается защищенный канал между вашим компьютером и VPN сервером. Все данные в этом канале зашифрованы.
Благодаря VPN, вы получите свободу общения и защитите свои личные данные.
В логах Интернет-провайдера будет набор разных символов. На картинке ниже представлен анализ данных, полученных специальной программой.
В HTTP заголовке сразу видно к какому сайту вы подключаетесь. Эти данные записывают Интернет-провайдеры.
На следующей картинке показан HTTP заголовок при использовании VPN. Данные зашифрованы и невозможно узнать какие сайты вы посещали.
Существует несколько способов подключения к VPN сети.
Существует 2 протокола передачи данных для OpenVPN технологии:
Настройка VPN соединения занимает несколько минут и отличается способом VPN подключения.
На нашем сервисе мы используем PPTP и OpenVPN соединения.
Мы всегда будем говорить о комплексном подходе к безопасности. Безопасность пользователя состоит не только из самого VPN подключения. Важно какой программой вы пользуетесь для подключения к VPN серверу.
В настоящее время сервисы предлагают удобные VPN клиенты – это программы, которые облегчают настройку VPN подключения. Мы сами предлагаем удобный VPN клиент. Благодаря таким программам настройка VPN подключения занимает не более 1 минуты.
Когда мы только начинали заниматься предоставлением VPN услуг в 2006 году, все наши пользователи настраивали официальное OpenVPN приложение. Оно имеет открытый исходный код. Конечно, настройка официального OpenVPN клиента занимает больше времени. Но давайте разберемся, чем лучше пользоваться в плане анонимности.
Мы видим опасность в использовании подобных программ. Все дело в том, что исходный код таких программ является собственностью компании и в целях сохранения уникальности своей программы, никто его не публикует.
Пользователи не могут узнать какие данные о вас собирает программа при отсутствии открытого исходного кода.
VPN программа может идентифицировать вас как конкретного пользователя даже при выключенных логах на сервере.
Любая программа может иметь функционал по записи посещенных вами сайтов, вашего реального IP адреса. А так как вы сами вводите свой логин в программу, то говорить о какой-либо анонимности использования программы вообще нельзя.
Если вашей деятельности нужен высокий уровень анонимности, мы рекомендуем вам отказаться от подобных VPN программ и использовать официальный релиз OpenVPN c открытым исходным кодом.
Сначала вам покажется это неудобным. Но со временем вы привыкните к этому, если фактор безопасности и анонимности для вас стоит на первом месте.
Мы гарантируем, что Secure Kit не сохраняет какие-либо данные о вас. Но мы должны вас предупредить, что подобные программы могут вести слежку за вами.
Еще одна идея как увеличить свою безопасность пришла с точки зрения географического расположения серверов. В Интернете она называется офшорный VPN.
Разные страны имеют разный уровень законодательства. Есть сильные государства с сильными законами. А есть небольшие страны, уровень развития которых не позволяет вести информационную защиту данных в своей стране.
Первоначально понятие офшорный применялось для обозначения страны, в которой смягчена налоговая политика. Такие страны имеют очень низкие налоги на бизнес. Мировые компании заинтересовались законным уходом от налогов в своей стране, и счета на Каймановых островах в офшорном банке стали очень популярными.
В настоящее время во многих странах мира уже есть запреты на использование банковских счетов в офшорных странах.
Большинство офшорных стран – это небольшие государства, расположенные в отдаленных уголках планеты. Сервера в таких странах найти сложнее и стоят они дороже из-за отсутствия развитой Интернет инфраструктуры. VPN сервера в таких странах начали называть офшорными.
Получается, что слово офшорный VPN не означает анонимный VPN, а говорит лишь о территориальной принадлежности к офшорному государству.
Офшорный VPN представляет дополнительные преимущества с точки зрения анонимности.
Как вы думаете куда легче написать официальный запрос:
Офшорный VPN – это дополнительный уровень защиты. Офшорный сервер хорошо использовать в составе цепочки Double VPN.
Не нужно использовать только 1 офшорный VPN сервер и думать, что это полная безопасность. Нужно подходить к своей безопасности и анонимности в Интернете с разных сторон.
Используйте офшорный VPN как звено вашей анонимности.
И пора ответить на самый часто задаваемый вопрос. Может ли анонимный VPN сервис вести логи? И как определить ведет ли сервис логи?
Анонимный VPN сервис не должен вести логи. Иначе его нельзя уже называть анонимным.
Мы составили список вопросов, благодаря которым, вы сможете точно определить ведет ли сервис логи.
Теперь вы имеете полную информацию о VPN подключениях. Этих знаний достаточно, чтобы сделать себя анонимным в Интернете и сделать безопасной передачу личных данных.
Существуют ли какие-то новые направления в области VPN?
Мы уже говорили о плюсах и минусах последовательного каскадирования VPN серверов (Double, Triple, Quad VPN).
Чтобы избежать минусов технологии Double VPN можно сделать параллельный каскад цепочек. Мы назвали это Parallel VPN.
Суть Parallel VPN заключается в том, чтобы направить трафик в параллельный канал данных.
Минусом технологии последовательного каскадирования (Double, Triple, Quad VPN) является то, что на каждом сервере происходит расшифровка канала и зашифровка в следующий канал. Данные последовательно шифруются.
В технологии Parallel VPN такой проблемы нет, так как все данные проходят двойное параллельное шифрование. То есть представьте лук, который имеет несколько кожурок. Таким же образом данные проходят в канале, который дважды зашифрован.
VPN и прокси-серверы имеют одно сходство: они предназначены для защиты конфиденциальной информации и скрывают ваш IP-адрес. На этом сходства заканчиваются.
Прокси или VPN | Прокси | VPN | |
---|---|---|---|
Доступ к любому контенту | |||
Скрывает ваше местоположение (IP-адрес) | |||
Скрывает вашу личность от мошенников | |||
Работает с браузерами (Chrome, Firefox) | |||
Работает с различными устройствами (смартфоны, планшеты, консоли) | |||
Работает с играми и приложениями | |||
Шифрует вашу деятельность, защищает от хакеров | |||
Защищает вас от вредоносных программ и фишинговых тактик | |||
Постоянно меняет виртуальное местоположение (IP-адрес) | |||
Высокоскоростной сёрфинг и просмотр потокового контента | |||
ВыводКак видите, VPN превосходит прокси-сервер по возможностям. Оба сервиса позволяют вам скрыть IP-адерс, но дополнительные функции VPN – надёжное шифрование, комплексная системная защита и т.п. – делают даную технологию более безопасной и конфиденциальной, чем прокси-сервер. |
Теперь вы понимаете, зачем в современных цифровых джунглях нужен VPN. Как выбрать сервис, идеально подходящий именно вам? Вот несколько полезных советов, которые помогут вам сделать правильный выбор.
Цена всегда имеет значение, но намного важнее получить именно то, за что вы заплатили . С бесплатными VPN-сервисами, как правило, полно проблем – в них почти всегда имеются какие-нибудь жёсткие ограничения. Да и как можно быть уверенным, что они не попробуют заработать на продаже ваших данных? Ведь обслуживать сеть VPN-серверов – занятие не из дешёвых, так что если вы не платите за продукт, то, скорее всего, вы и есть продукт.
На скорость работы VPN влияет множество факторов. Сеть серверов должна быть хорошо оптимизирована, чтобы вы получали на выходе , так что убедитесь, что выбранный вами сервис оптимизирует свою сеть. Кроме того, действительно хороший сервис не станет ограничивать объём трафика и пропускную способность канала передачи данных, чтобы вы могли наслаждаться высокой скоростью сколько угодно.
Некоторые VPN-сервисы сохраняют ваши личные данные, что сводит на нет всю суть использования VPN для защиты конфиденциальности! Если конфиденциальность важна для вас, то вам подойдёт только сервис, который строго придерживается принципа «Никаких записей». Также для сохранения конфиденциальности хорошо, если VPN-сервис принимает оплату в биткойнах.
Чтобы убедиться в том, что сервис предоставляет хорошую защиту от различных угроз, посмотрите, какие протоколы шифрования он использует. Кроме того, в клиенте сервиса должна быть функция «Стоп-кран», чтобы блокировать любой обмен данными устройства с Сетью, если VPN-соединение было нарушено или разорвано.
– это абсолютно необходимое условие для обеспечения быстрого и стабильного VPN-соединения. Чем больше у VPN-сервиса серверов и чем больше список стран, в которых они расположены – тем лучше. Но это ещё не всё. Проверьте, позволяет ли сервис без ограничений переключаться между различными VPN-серверами. У вас обязательно должна быть возможность в любое время сменить точку выхода в Интернет.
Одни сервисы позволяют одновременно подключаться к своей VPN-сети только одному устройству. Другие же позволяют одновременно подключить ПК, ноутбук, смартфон, Xbox и планшет. Мы в SaferVPN считаем, что больше – значит лучше. Поэтому разрешаем вам одновременно подключать до пяти устройств на каждый аккаунт.
Многим пользователям VPN по началу нужна помощь, чтобы освоиться с новой технологией, поэтому важным фактором при выборе сервиса может стать наличие у него хорошей службы технической поддержки, которая, во-первых, оперативно отвечает на вопросы пользователей и, во-вторых, даёт действительно толковые советы. Команда SaferVPN и всегда готова ответить на ваши вопросы по эл. почте или через онлайн-чат.
Опробовать продукт перед покупкой – действительно . Не каждый VPN-сервис готов её предоставить. Но ведь нет лучше способа узнать, подходит ли вам сервис, чем попробовать самому. Также хорошо, если имеется гарантия возврата денег, особенно если возврат производится оперативно.
Не так-то просто найти VPN-сервис, который удобно использовать, легко устанавливать и при этом он обеспечивает достойную защиту и обладает богатым функционалом. Наша функция подключения одним нажатием кнопки невероятно удобна, а функция автоматической гарантируют вашу безопасность.
Для каждой платформы требуется разрабатывать отдельный VPN-клиент. Это непростая задача, но хороший VPN-сервис должен иметь в арсенале клиент для любого устройства, предложить пользователям клиентов для различных платформ, а также оперативно оказывать техническую поддержку и помогать пользователям исправлять проблемы.
Терминология в сфере Интернет-безопасности – довольно сложная и запутанная штука. Но не спешите отчаиваться! Команда SaferVPN поможет вам разобраться во всех тонкостях.
Англ. Advanced Encryption Standard – продвинутый стандарт шифрования. 256-битный AES на данный момент считается «золотым стандартом» шифрования, используется правительством США для защиты секретных данных. AES – лучший стандарт шифрования, доступный пользователям VPN.
Математическая лазейка, секретный криптографический код, который встраивается в шифровальную последовательность для того, чтобы шифр потом можно было взломать.
Децентрализованная пиринговая (передаваемая от одного пользователя другому напрямую) открытая виртуальная валюта (криптовалюта). Как и традиционные деньги, биткойны можно обменивать на продукты и услуги, а также на другие валюты. SaferVPN принимает платежи в биткойнах.
Реестр, в котором хранятся записи о датах ваших подключений, их длительности, частоте, адресах и т.п. Необходимость ведения таких записей, как правило, объясняется тем, что они помогают решать различные технические проблемы и бороться со всевозможными нарушениями. SaferVPN принципиально не ведёт таких записей.
Количество данных, передаваемое за определённый период времени. Обычно измеряется в килобитах или мегабитах в секунду.
Англ. cookies – печенье. Это небольшие фрагменты данных, которые браузер хранит в виде текстовых файлов. С их помощью можно делать много полезного (например, запоминать данные для входа пользователя в систему или персональные настройки на сайте), но куки зачастую используют для слежки за пользователями.
DD-WRT открытая прошивка для роутеров, предоставляющая вам широкие возможности по управлению роутером. Отличная альтернатива фирменным прошивкам для тех, кто хочет самостоятельно настраивать роутер под свои нужды.
Англ. Domain Name System – система доменных имён. Это база данных, способная трансформировать адреса веб-страниц (URL) из привычного и понятного нам вида в «настоящий», цифровой формат, понятный компьютерам. DNS-перевод, как правило, осуществляет ваш Интернет-провайдер, попутно проверяя и цензурируя весь ваш трафик.
Правила или законы, в соответствии с которыми компания собирает данные о своих пользователях. В большинстве стран Интернет-провайдеры обязаны хранить некоторые данные пользователей (например, историю сёрфинга) в течение нескольких месяцев.
Кодирование данных с помощью математического алгоритма для предотвращения несанкционированного доступа к ним. Шифрование – единственное, что может защитить цифровые данные от посторонних лиц. Оно является краеугольным камнем безопасности в Интернете.
Ограничение доступа к онлайн-сервисам на основании географического расположения. Данные ограничения, как правило, вводятся для того, чтобы правообладатели могли заключать выгодные сделки по выдаче лицензий с дистрибьюторами по всему миру. Разумеется, посредники делают продукт дороже для конечного потребителя.
HTTPS – протокол на базе SSL/TLS для защиты сайтов, которым пользуются банки и онлайн-продавцы.
Англ. Internet Protocol Address – адрес по Интернет-протоколу. Каждое устройство в Сети получает уникальный цифровой адрес – IP-адрес. SaferVPN скрывает ваш IP-адрес от внешних наблюдателей, тем самым обеспечивая конфиденциальность и доступ к любым Интернет-сервисам.
Компания, которая поставляет услуги доступа к сети Интернет. Право предоставлять такие услуги строго регулируется: Интернет-провайдеры по закону обязаны отслеживать и цензурировать трафик своих клиентов.
VPN (Virtual Private Network) или в переводе на русский виртуальная частная сеть - это технология, которая позволяет объединять компьютерные устройства в защищенные сети, чтобы обеспечивать их пользователям зашифрованный канал и анонимный доступ к ресурсам в интернете.
В компаниях VPN используется в основном для объединения нескольких филиалов, расположенных в разных городах или даже частях света в одну локальную сеть. Служащие таких компаний, используя VPN могут использовать все ресурсы, которые находятся в каждом филиале как свои локальные, находящиеся у себя под боком. Например, распечатать документ на принтере, который находится в другом филиале всего в один клик.
Рядовым пользователям интернета VPN пригодится, когда:
Виртуальные частные сети работают через туннель, который они устанавливают между вашим компьютером и удаленным сервером. Все передаваемые через этот туннель данные зашифрованы.
Его можно представить в виде обычного туннеля, который встречается на автомобильных магистралях, только проложенного через интернет между двумя точками - компьютером и сервером. По этому туннелю данные подобно автомобилям проносятся между точками с максимально возможной скоростью. На входе (на компьютере пользователя) эти данные шифруются и уходят в таком виде адресату (на сервер), в этой точке происходит их расшифровка и интерпретация: происходит загрузка файла, отправляется запрос к сайту и т. п. После чего полученные данные снова шифруются на сервере и по туннелю отправляются обратно на компьютер пользователя.
Для анонимного доступа к сайтам и сервисам достаточно сети, состоящей из компьютера (планшета, смартфона) и сервера.
В общем виде обмен данными через VPN выглядит так:
Устройства, входящие в виртуальную частную сеть, не привязаны географически и могут находиться на любом удалении друг от друга.
Для рядового пользователя сервисов виртуальной частной сети достаточно понимания того, что вход в интернет через VPN - это полная анонимность и неограниченный доступ к любым ресурсам, включая те, которые заблокированы провайдером либо недоступны для вашей страны.
Специалисты рекомендуют пользоваться VPN для передачи любых данных, которые не должны оказаться в руках третьих лиц -- логинов, паролей, частной и рабочей переписки, работы с интернет-банкингом. Особенно это актуально при пользовании открытыми точками доступа -- WiFi в аэропортах, кафе, парках и пр.
Пригодится технология и тем, кто хочет беспрепятственно заходить на любые сайты и сервисы, в том числе заблокированные провайдером или открытые только для определенного круга лиц. Например, Last.fm бесплатно доступен только для жителей США, Англии и ряда других европейских стран. Использовать музыкальные сервис из России позволит подключение через VPN.
VPN работает на компьютере глобально и перенаправляет через туннель работу всего программного обеспечения, установленного на компьютере. Любой запрос - через чат, браузер, клиент облачного хранилища (dropbox) и др. перед попаданием к адресату проходит через туннель и шифруется. Промежуточные устройства «путают следы» через шифрование запросов и расшифровывают его только перед отправкой конечному адресату. Конечный адресат запроса, например, сайт, фиксирует не данные пользователя -- географическое положение и пр., а данные VPN сервера. Т. е. теоретически невозможно отследить какие сайты посещал пользователь и что за запросы передавал по защищенному подключению.
В некоторой степени аналогами VPN можно считать анонимайзеры, proxy и TOR, но все они в чем-то проигрывают виртуальным частным сетям.
Подобно VPN технология TOR предполагает шифрование запросов и передачу их от пользователя к серверу и наоборот. Только постоянных туннелей TOR не создает, пути получения/передачи данных меняются при каждом обращении, что сокращает шансы на перехват пакетов данных, но не лучшим образом сказывает на скорости. TOR бесплатная технология и поддерживается энтузиастами, поэтому ожидать стабильной работы не приходится. Проще говоря, зайти на сайт, заблокированный провайдером, получится, но видео в HD-качестве с него грузиться будет несколько часов или даже дней.
Proxy по аналогии с VPN перенаправляют запрос к сайту, пропуская его через серверы-посредники. Только перехватить такие запросы несложно, ведь обмен информацией происходит без какого-либо шифрования.
Анонимайзер -- урезанный вариант proxy, способный работать только в рамках открытой вкладки браузера. Через него получится зайти на страницу, но воспользоваться большинством возможностей не получится, да и шифрования никакого не предусмотрено.
По скорости из способов непрямого обмена данными выиграет proxy, т. к. он не предусматривает шифрования канала связи. На втором месте VPN, обеспечивающий не только анонимность, но и защиту. Третье место за анонимайзером, ограниченным работой в открытом окне браузера. TOR подойдет, когда нет времени и возможностей для подключения к VPN, но на скоростную обработку объемных запросов рассчитывать не стоит. Эта градация справедлива для случая, когда используются не нагриженные сервера, находящиеся на одинаковом расстоянии от тестируемого.
В рунете услуги доступа к VPN предлагают десятки сервисов. Ну а по всему миру наверное сотни. В основном все сервисы платные. Стоимость составляет от нескольких долларов до нескольких десятков долларов в месяц. Специалисты, которые неплохо понимают в IT создают для себя VPN сервер самостоятельно, используя для этих целей сервера, которые предоставляют различные хостинг-провайдеры. Стоимость такого сервера обычно около 5$ в месяц.
Предпочесть платное или бесплатное решение зависит от требований и ожиданий. Работать будут оба варианта - скрывать местоположение, подменять ip, шифровать данные при передаче и пр. - но проблемы со скоростью и доступом в платных сервисах случаются разительно реже и решаются гораздо быстрее.
Твитнуть
Плюсануть
Please enable JavaScript to view theЕсли попытаться провести аналогии с осязаемым миром, то представим ситуацию, когда вы едете из деревни, инкапсулированные в автомобиль. Доезжаете до реки, и вам надо перебраться на другой берег и там продолжить своё путешествие в город.
На речном порту ваш автомобиль инкапсулируют в паром и переправляют через бушующие волны на другую сторону, где ваш автомобиль извлекают, и вы продолжаете движение. Так вот этот паром и был GRE-паромом.
Сделаем три ремарки:
Во-первых, интерфейсы Loopback и адреса с маской /32 мы выбрали просто для теста, фактически это вполне бы могли быть интерфейсы fa1/0.15 и fa0/1.16 с подсетями 172.16.15.0/24 и 172.16.16.0/24, например, или любые другие.
Во-вторых, мы тут всё ведём речи о публичных сетях и адресах, но на самом деле, конечно, это не имеет значения и туннели вполне можно поднимать даже внутри своей корпоративной сети, когда конечные сети и так имеют IP-связность без туннеля.
В-третьих, несмотря на то, что теоретически обратно трафик может возвращаться и не по туннелю, создать его необходимо, чтобы конечный узел могу успешно декапсулировать GRE-пакеты
Обычный GRE – яркий пример туннелирования, который очень просто настраивается и сравнительно легко траблшутится.
Очевидно, вы уже догадываетесь, какие три большие проблемы подстерегают нас на этом поле?
Сейчас для организации шифрованного VPN-канала используются преимущественно следующие технологии: IPSec (IP Security), OpenVPN и PPTP (Point-to-Point Tunneling Protocol).
Бессменным лидером, конечно, является IPSec, о нём и поговорим.
Для начала нужно уяснить себе, что IPSec – это не протокол, это стандарт, включающий в себя целых три протокола, каждый со своими функциями:
Прежде чем переходить дальше, разберемся с термином SA – Security Association. SA в общем смысле представляет собой набор параметров защищенного соединения (например, алгоритм шифрования, ключ шифрования), который может использоваться обеими сторонами соединения. У каждого соединения есть ассоциированный
с ним SA.
Теперь по порядку, как создается защищенное соединение в IPSec:
Строго говоря, в этом процессе есть нулевой шаг: некий трафик должен попасть в соответствие аксесс-листу в крипто мапе. Только после этого будет происходить все остальное.
Теперь немного о трансформ-сете и чем отличается ESP от AH. Как будут шифроваться наши данные, идущие через туннель, определяет команда crypto ipsec transform-set имя_сета , после которой идет название протокола, который будет использован (ESP или AH) + алгоритм, по которому будет работать протокол. Например, команда crypto ipsec transform-set SET1 esp-aes даст понять роутеру, что трансформ-сет с именем “SET1”, если он будет применен, будет работать только по протоколу ESP c шифрованием алгоритмом AES. Ну если с ESP все более-менее понятно, его дело-шифровать (обеспечивать конфиденциальность ), то что такое AH и зачем он вообще нужен? AH обеспечивает аутентификацию данных, то есть дает уверенность, что эти данные пришли именно от того, с кем мы установили связь, и не были изменены по дороге. Если не углубляться в подробности, работает это так: в каждый пакет между заголовком IP и заголовком транспортного уровня вставляется заголовок AH, в котором присутствует:
IPSec может работать в двух режимах: туннельном и транспортном.
*рисунок не точен и показывает лишь суть, на самом деле заголовков там больше, а так же есть трейлеры в конце.
Это режим по умолчанию.
Давайте опять разберёмся по ходу настройки.
На локальной стороне:
Сначала общую политику для фазы 1 – установление первого, вспомогательного туннеля: тип шифрования (по умолчанию DES) и аутентификации. Аутентификацию можно делать на основе сертификатов, но мы рассмотрим простой пример с предварительным ключом:
crypto isakmp policy 1
encr aes
authentication pre-share
Часто задаются несколько таких политик с различными комбинациями шифрования, хеша и группы DH.
При создании isakmp sa, та сторона, которая инициирует соединение, отправляет все локально настроенные политики isakmp.
Принимающая сторона просматривает по очереди, в порядке приоритетности свои локально настроенные политики. Первая же политика, для которой найдено совпадение, будет использоваться.
Указываем pre-shared key для проверки подлинности соседа 200.0.0.1
crypto isakmp key CISCO address 200.0.0.1
На самом деле мы указываем сразу набор протоколов, как вы видите, он и называется transform-set. При установке IPSec-сессии маршрутизаторы обмениваются этими наборами. Они должны совпадать.
Для упрощения траблшутинга имена для transform-set обычно даются по применённым протоколам.
Теперь создаём карту шифрования:
crypto map MAP1 10 ipsec-isakmp
set peer 200.0.0.1
match address 101
В нашем случае он выглядит так:
access-list 101 permit ip host 10.0.0.0 host 10.1.1.0
Будьте внимательны при задании ACL. Он определяет параметры не только исходящего трафика, но и входящего (в отличие от ACL для NAT, например).
То есть если придут пакеты не от 10.1.1.0, а от 10.2.2.2, он не будет обработан и дешифрован.
Заметим, что шифрование, происходит практически в самую последнюю очередь, после маршрутизации.
И это, кстати, очень важный момент. Вам недостаточно маршрута до публичного адреса пира (200.0.0.1). Нужен маршрут до 10.1.1.0 пусть даже он дефолтный. Иначе пакет будет отброшен в соответствии с обычными правилами маршрутизации.
Как бы странно это ни казалось, но трафик в локальную сеть у вас должен быть “зарулен”, например, в Интернет. При этом приватные пакет, которые уже вот-вот должны быть отправлены к провайдеру и там отброшены, в последний момент шифруется, получая публичные адреса.
Кстати, есть таблица с порядком следования операций, производимых над трафиком.
interface FastEthernet0/0
crypto map MAP1
crypto isakmp policy 1
encr aes
authentication pre-share
crypto isakmp key CISCO address 100.0.0.1
!
!
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
!
crypto map MAP1 10 ipsec-isakmp
set peer 100.0.0.1
set transform-set AES128-SHA
match address 101Interface FastEthernet0/1
crypto map MAP1Access-list 101 permit ip host 10.1.1.0 host 10.0.0.0
Но сколько бы вы после ни смотрели show crypto session
или show crypto isakmp sa
, вы увидите только Down
. Туннель никак не поднимается.
Счётчики show crypto ipsec sa
. Так же по нулям.
R1#sh crypto sessionInterface: FastEthernet0/0
Session status: DOWN
Peer: 200.0.0.1 port 500
Active SAs: 0, origin: crypto mapR1#sh crypto isakmp sa
Дело в том, что вам необходимо пустить в него трафик. В прямом смысле, например так:
R1#ping 10.1.1.0 source 10.0.0.0
Sending 5, 100-byte ICMP Echos to 10.1.1.0, timeout is 2 seconds:
Packet sent with a source address of 10.0.0.0
.!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 60/94/160 ms
R1#sh crypto session
Crypto session current statusInterface: FastEthernet0/0
Session status: UP-ACTIVE
Peer: 200.0.0.1 port 500
IKE SA: local 100.0.0.1/500 remote 200.0.0.1/500 Active
IPSEC FLOW: permit ip host 10.0.0.0 host 10.1.1.0
Active SAs: 2, origin: crypto mapR1#sh crypto isakmp sa
dst src state conn-id slot status
200.0.0.1 100.0.0.1 QM_IDLE 1 0 ACTIVE
Начальная конфигурация: «IPsec»
Маршрутизатор R1 стоит в центральном офисе.
Маршрутизатор R3 - это маршрутизатор в одном из филиалов.
К схеме добавляется маршрутизатор R4 - второй филиал.
Задание:
1. Настроить туннель IPsec с использованием crypto-map между R4 и R1:
- Политики защиты данных такие же, как и для туннеля между R3 и R1.
2. Добавить соответствующие настройки для того чтобы R3 и R4 также могли обмениваться данными:
- Данные между филиалами за R3 и R4 должны передаваться через центральный маршрутизатор R1
Конфигурация: «IPsec»
Примечание:
Задача может быть решена, как теоретически, так и практически.
Если Вы будете пробовать задачу на практике, то внимательно соблюдайте условия задачи.
Условия задачи:
Маршрутизатор R1 стоит в центральном офисе и к нему будут подключены 3 филиала (для данной задачи достаточно маршрутизаторов R1, R2, R3. R3 - в роли одного из филиалов). В филиалах используются маршрутизаторы с разными возможностями, и необходимо использовать разные политики IPsec. Всего есть 3 различные политики.
На маршрутизаторе R3, кроме туннеля в центральный офис также есть несколько туннелей с партнерами. Поэтому тут тоже созданы различные политики.
Трафик передается только из филиалов в центральный офис, между филиалами коммуникаций нет.
Со стороны филиала R3 в центральный офис R1 генерируются данные, которые инициируют туннель VPN.
Вопрос: Какую политику защиты данных будут использовать маршрутизаторы для построения туннеля между собой?
Схема: «итоговая схема задачи 7.1»
Конфигурации устройств: на сайте проекта
Описание проблемы:
Не передаются данные между R1 и R4.
Задание:
Найти ошибку и исправить конфигурацию так, чтобы туннель между R1 и R4 установился и передавался трафик между R1 и R4.
Конфигурация: на сайте проекта
Описание проблемы:
После настройки GRE over IPSec между R1 и R3, всё прекрасно работает, трафик между R1 и R3 (c 10.0.0.0 на 10.1.1.0) передается.
Однако, через несколько дней, когда администратор хотел посмотреть состояние VPN, обнаружилось, что на маршрутизаторах вообще нет установленных SA.
Соответственно, трафик между R1 и R3 не шифруется.
Задание:
Необходимо проверить настройки, исправить конфигурацию и сделать так, чтобы трафик шифровался (трафик между loopback-интерфейсами 10.0.0.0 и 10.1.1.0).
Можно сделать тут ещё одно дополнение: технически, можно исключить четырёхбайтовый заголовок GRE из пакета, указав с обеих сторон, что режим работы туннеля IPIP:interface Tunnel0
tunnel mode ipip
Нужно правда помнить, что в этом случае инкапсулировать можно только данные IP, а не любые, как в случае GRE.
Схема: «GRE_over_IPSec»
Задание:
Изменить исходную конфигурацию GRE over IPSec и настроить GRE over IPsec без использования crypto-map.
В предыдущих частях мы решили проблему с безопасностью передаваемых данных – теперь мы их шифруем – и с IGP – посредством GRE over IPSec мы используем протоколы динамической маршрутизации.
Осталась последняя проблема – масштабируемость.
Хорошо, когда у вас вот такая сеточка:
По два туннеля на каждом узле и всё.
Добавляем ещё один узел:
И ещё один:
Нужно уже гораздо больше туннелей для получения полносвязной топологии. Типичная проблема со сложностью m*(m-1)/2.
Если не использовать Full-Mesh, а обратиться к топологии Hub-and-Spoke с одной центральной точкой, то появляется другая проблема – трафик между любыми филиалами будет проходить через центральный узел.
DMVPN позволяет решить обе проблемы.
Суть такая: выбирается центральная точка Hub (или несколько). Она будет сервером, к которому будут подключаться клиенты (Spoke) и получать всю необходимую информацию. При этом:
1) Данные будут зашифрованы IPSec
2) Клиенты могут передавать трафик непосредственно друг другу в обход центрального узла
3) Только на центральном узле необходим статический публичный IP-адрес. Удалённые узлы могут иметь динамический адрес и находиться даже за NATом, используя адреса из частных диапазонов (Технология NAT Traversal). Но при этом возникают ограничения по части динамических туннелей.
Это всё средоточие мощи GRE и IPSec, сдобренное NHRP и IGP.
Новый IP-план:
Подсети, выделенные для подключения к интернету филиалов:
Для туннельных интерфейсов возьмём внутреннюю сеть:
И назначим также адреса Loopback для них:
Идея заключается в том, что на центральном узле будет один единственный динамический туннель, который мы настроим в самом начале, а при добавлении новых удалённых точек, здесь не нужны изменения – ни добавлять новые туннельные интерфейсы, ни перенастраивать уже существующий.
Фактически при добавлении новых узлов настраивать нужно только их.
Везде запускается протокол NHRP – NBMA Next Hop resolution Protocol.
Он позволяет динамически изучать адреса удалённых точек, который желают подключиться к основной.
На нём и основана возможность реализации multipoint VPN. Хаб (центральный узел) здесь выступает как сервер (NHS – Next-Hop Server), а все удалённые узлы будут клиентами (NHC – Next-Hop Client).
Звучит это сложно. На пальцах объяснить тоже не получится. Надо лишь один раз настроить и посмотреть, как бегают пакеты.
Конфигурация хаба:
interface Tunnel0
ip nhrp network-id 1
tunnel mode gre multipoint
Конфигурация филиала:
interface Tunnel0
ip nhrp network-id 1
ip nhrp nhs 172.16.254.1
ip nhrp registration no-unique
tunnel mode gre multipoint
По порядку:
ip address 172.16.254.2 255.255.255.0
– IP-адрес из нужного диапазона.
ip nhrp map 172.16.254.1 198.51.100.2
– Статическое соотношение внутреннего и внешнего адресов хаба.
ip nhrp map multicast 198.51.100.2
мультикастовый трафик должен получать хаб.
Без этой команды у вас будут довольно интересные симптомы проблемы.
Вот вы запустили OSPF, пиринг поднимается, хаб и филиалы переходят в состояние Full, обменялись маршрутами, и вы уже радуетесь, что всё отлично, и тут бац – пинг пропадает, пиринг падает, но только с одной стороны, мол истёк dead-timer.*Mar 1 01:51:20.331: %OSPF-5-ADJCHG: Process 1, Nbr 172.16.255.2 on Tunnel0 from FULL to DOWN, Neighbor Down: Dead timer expired
msk-arbat-gw1#
*Mar 1 01:51:25.435: %OSPF-5-ADJCHG: Process 1, Nbr 172.16.255.2 on Tunnel0 from LOADING to FULL, Loading DoneЧто за фигня?
Смотрим дебаг, смотрим дампы*Mar 1 01:53:44.915: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.4 from 172.16.2.1
*Mar 1 01:53:44.919: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.7 from 172.16.2.33
*Mar 1 01:53:44.923: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.5 from 172.16.2.17
*Mar 1 01:53:44.923: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.8 from 172.16.2.129
*Mar 1 01:53:44.963: OSPF: Send hello to 224.0.0.5 area 0 on Tunnel0 from 172.16.254.1
msk-arbat-gw1#
*Mar 1 01:53:54.919: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.4 from 172.16.2.1
*Mar 1 01:53:54.923: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.7 from 172.16.2.33
*Mar 1 01:53:54.927: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.5 from 172.16.2.17
*Mar 1 01:53:54.931: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.8 from 172.16.2.129
*Mar 1 01:53:54.963: OSPF: Send hello to 224.0.0.5 area 0 on Tunnel0 from 172.16.254.1
msk-arbat-gw1#
*Mar 1 01:54:04.919: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.4 from 172.16.2.1
*Mar 1 01:54:04.927: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.7 from 172.16.2.33
*Mar 1 01:54:04.931: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.5 from 172.16.2.17
*Mar 1 01:54:04.935: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.8 from 172.16.2.129
*Mar 1 01:54:04.963: OSPF: Send hello to 224.0.0.5 area 0 on Tunnel0 from 172.16.254.1
На 5 OSPF Hello от хаба только один Hello от филиала.
Как вы уже поняли, маршрутизатор просто не может сообразить куда посылать мультикастовые сообщения на адрес 224.0.0.5, хаб их не получает и дёргает OSPF-сессию.
ip nhrp network-id 1
– Network ID. Не обязательно должен совпадать с таким же на хабе.
ip nhrp nhs 172.16.254.1
– Статически настроенный адрес NHRP сервера – хаба. Именно поэтому в центре нам нужен статический публичный адрес. Клиенты отправляют запрос на регистрацию на хаб 172.16.254.1. Этот запрос содержит настроенный локальный адрес туннельного интерфейса, а также свой публичный адрес (случай, когда клиент находится за NAT пока не рассматриваем).
Полученную информацию хаб заносит в свою NHRP-таблицу соответствия адресов. Эту же таблицу он распространяет по запросу любому Spoke-маршрутизатору.
ip nhrp registration no-unique
– если адрес в филиалах выдаётся динамически, эта команда обязательна.
tunnel source FastEthernet0/0
– привязка к физическому интерфейсу.
tunnel mode gre multipoint
– указываем, что тип туннеля mGRE – это позволит создавать динамически туннели не только до хаба, но и до других филиалов.
У нас ситуация простая – без NAT – и мы можем уже сейчас проверить состояние туннелей.
msk-arbat-gw1#sh int tun 0
Tunnel0 is up, line protocol is up
Hardware is Tunnel
Internet address is 172.16.254.1/24
MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 198.51.100.2 (FastEthernet0/1.6), destination UNKNOWN
Tunnel protocol/transport multi-GRE/IP
Key disabled, sequencing disabled
Checksumming of packets disabled
msk-arbat-gw1#ping 172.16.254.2Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.254.2, timeout is 2 seconds:
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 176/213/284 ms
msk-arbat-gw1#sh ip nhrp brief
msk-arbat-gw1#sh ip nhrp
172.16.254.2/32 via 172.16.254.2, Tunnel0 created 00:09:48, expire 01:50:11
Type: dynamic, Flags: authoritative unique registered
NBMA address: 198.51.101.2Nsk-obsea-gw1#sh ip nhrp brief
Target Via NBMA Mode Intfc Claimed
Тут для каждого протокола свои всплывают тонкости.
Давайте рассмотрим процесс настройки OSPF, для примера.
Поскольку мы имеем широковещательную L2 сеть на туннельных интерфейсах, указываем явно тип сети Broadcast на туннельных интерфейсах на всех узлах:
router ospf 1
network 172.16.0.0 0.0.255.255 area 0
msk-arbat-gw1#sh ip routeGateway of last resort is 198.51.100.1 to network 0.0.0.0
172.16.0.0/16 is variably subnetted, 7 subnets, 3 masks
C 172.16.2.128/30 is directly connected, FastEthernet0/1.8
C 172.16.255.1/32 is directly connected, Loopback0
C 172.16.254.0/24 is directly connected, Tunnel0
C 172.16.2.32/30 is directly connected, FastEthernet0/1.7
C 172.16.2.16/30 is directly connected, FastEthernet0/1.5
C 172.16.2.0/30 is directly connected, FastEthernet0/1.4
O 172.16.255.128/32 via 172.16.254.2, 00:05:14, Tunnel0
198.51.100.0/28 is subnetted, 1 subnets
C 198.51.100.0 is directly connected, FastEthernet0/1.6
S* 0.0.0.0/0 via 198.51.100.1
Пинг проходит
msk-arbat-gw1#ping 172.16.255.128Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.255.128, timeout is 2 seconds:
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 60/70/80 ms
Вот так выглядят пакеты, передающиеся через сеть Интернет:
* Дамп с nsk-obsea-gw1 fa0/0
Проверяем, как у нас проходит пинг от одного филиала до другого:
nsk-obsea-gw1#ping 172.16.255.132Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.255.132, timeout is 2 seconds:
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 132/231/492 msNsk-obsea-gw1#traceroute 172.16.255.132
Type escape sequence to abort.
Tracing the route to 172.16.255.1321 172.16.254.3 240 msec * 172 msec
Nsk-obsea-gw1#sh ip nhrp br
Target Via NBMA Mode Intfc Claimed
172.16.254.1/32 172.16.254.1 198.51.100.2 static Tu0
Как видите пакеты не заходят на хаб, а идут напрямую сразу на маршрутизатор другого филиала через Интернет. Но действительность несколько сложнее.
Что происходит в этот момент?
1) Отправляем пинг на адрес Loopback-интерфейса в Томске
2) Согласно таблице маршрутизации, следующий хоп
Last update from 172.16.254.3 on Tunnel0, 00:18:47 ago
Routing Descriptor Blocks:
* 172.16.254.3, from 172.16.255.132, 00:18:47 ago, via Tunnel0
Это адрес из сети, непосредственно подключенной к интерфейсу Tunnel 0
Routing Descriptor Blocks:
* directly connected, via Tunnel0
nsk-obsea-gw1#sh ip nhrp brief
Target Via NBMA Mode Intfc Claimed
172.16.254.1/32 172.16.254.1 198.51.100.2 static Tu0
Как видите, адрес 172.16.254.3 nhrp неизвестен
.
Поэтому пакет ICMP отправляется на статически настроенный хаб – 198.51.100.2:
msk-arbat-gw1, fa0/1:
А хаб сразу же перенаправляет запрос на нужный адрес:
msk-arbat-gw1, fa0/1:
4) Одновременно с этим маршрутизатор-клиент в Новосибирске отправляет NHRP-запрос, мол кто укрывает адрес 172.16.254.3:
msk-arbat-gw1, fa0/1:
5) Хаб обладает этим знанием:
msk-arbat-gw1#sh ip nhr br
Target Via NBMA Mode Intfc Claimed
172.16.254.2/32 172.16.254.2 198.51.101.2 dynamic Tu0
172.16.254.3/32 172.16.254.3 198.51.102.2 dynamic Tu0
И отправляет эту информацию в NHRP-ответе:
msk-arbat-gw1, fa0/1:
Больше Хаб не встревает в разговор двух споков.
6) ICMP запрос пришёл в Томск:
tmsk-lenina-gw1, fa0/0:
Несмотря на то, что во внешнем заголовке IP адрес источника – это адрес хаба, внутри фигурирует изначальный адрес Новосибирского маршрутизатора:
7)Томск тоже пока не знает ничего об адресе 172.16.254.2, пославшем ICMP-запрос.
Target Via NBMA Mode Intfc Claimed
172.16.254.1/32 172.16.254.1 198.51.100.2 static Tu0
Поэтому ICMP-ответ он отправляет тоже на хаб:
tmsk-lenina-gw1, fa0/0:
8) Следом за ним он интересуется о публичном адресе отправителя:
tmsk-lenina-gw1, fa0/0:
9)Ну и хаб, естественно, отвечает:
tmsk-lenina-gw1, fa0/0:
10) Сейчас на всех узлах актуальная информация NHRP:
msk-arbat-gw1(config-if)#do sh ip nhr br
Target Via NBMA Mode Intfc Claimed
172.16.254.2/32 172.16.254.2 198.51.101.2 dynamic Tu0
172.16.254.3/32 172.16.254.3 198.51.102.2 dynamic Tu0
Target Via NBMA Mode Intfc Claimed
172.16.254.1/32 172.16.254.1 198.51.100.2 static Tu0
172.16.254.3/32 172.16.254.3 198.51.102.2 dynamic Tu0
tmsk-lenina-gw1(config-if)#do sh ip nh br
Target Via NBMA Mode Intfc Claimed
172.16.254.1/32 172.16.254.1 198.51.100.2 static Tu0
172.16.254.2/32 172.16.254.2 198.51.101.2 dynamic Tu0
Как видите, распространение происходит не автоматически, а по запросу, причём инициаторами являются только клиенты, потому что фактически, только они знают, куда обращаться (хаб изначально не знает о клиентах ничего)
11) Следующий ICMP-запрос он уже отправит по-новому:
nsk-obsea-gw1#sh ip route 172.16.255.132
Routing entry for 172.16.255.132/32
Known via «ospf 1», distance 110, metric 11112, type intra area
Last update from 172.16.254.3 on Tunnel0, 00:20:24 ago
Routing Descriptor Blocks:
* 172.16.254.3, from 172.16.255.132, 00:20:24 ago, via Tunnel0
Route metric is 11112, traffic share count is 1
Подсеть 172.16.254.0 подключена к интерфейсу Tunnel 0
nsk-obsea-gw1#sh ip route 172.16.254.3
Routing entry for 172.16.254.0/24
Known via «connected», distance 0, metric 0 (connected, via interface)
Routing Descriptor Blocks:
* directly connected, via Tunnel0
Route metric is 0, traffic share count is 1
12) Мы немного повторяемся, но… Интерфейс Tunnel 0 является mGRE и согласно таблицы NHRP весь трафик, для которого следующим хопом является 172.16.254.3 должен быть инкапсулирован в GRE и внешний IP-заголовок с адресом назначения 198.51.102.2 (В качестве адреса источника будет выбран адрес физического интерфейса – 198.51.101.2):
nsk-obsea-gw1(config-if)#do sh ip nhr br
Target Via NBMA Mode Intfc Claimed
172.16.254.1/32 172.16.254.1 198.51.100.2 static Tu0
172.16.254.3/32 172.16.254.3 198.51.102.2 dynamic Tu0
tmsk-lenina-gw1, fa0/0:
Gateway of last resort is 198.51.101.1 to network 0.0.0.0
Тут важно понимать, что несмотря на то, что общение между филиалами осуществляется в обход центрального узла, хаб однако несёт тут жизненно важную вспомогательную функцию и без него ничего работать не будет: он предоставляет клиентам таблицу NHRP, а также анонсирует все маршруты – филиалы распространяют маршрутную информацию не непосредственно друг другу, а через хаб.
Актуальная на данный момент конфигурация узлов:
msk-arbat-gw1
interface Tunnel0
ip address 172.16.254.1 255.255.255.0
no ip redirects
ip nhrp map multicast dynamic
ip nhrp network-id 1
ip ospf network broadcast
ip ospf priority 10
tunnel source FastEthernet0/1.6
tunnel mode gre multipointNsk-obsea-gw1
interface Tunnel0
ip address 172.16.254.2 255.255.255.0
no ip redirects
ip nhrp map 172.16.254.1 198.51.100.2
ip nhrp map multicast 198.51.100.2
ip nhrp network-id 1
ip nhrp nhs 172.16.254.1
ip ospf network broadcast
ip ospf priority 0
tunnel source FastEthernet0/0
tunnel mode gre multipointTmsk-leneina-gw1
interface Tunnel0
ip address 172.16.254.3 255.255.255.0
no ip redirects
ip nhrp map 172.16.254.1 198.51.100.2
ip nhrp map multicast 198.51.100.2
ip nhrp network-id 1
ip nhrp nhs 172.16.254.1
ip ospf network broadcast
ip ospf priority 0
tunnel source FastEthernet0/0
tunnel mode gre multipoint
end
Осталось уладить вопрос с безопасностью.
Но мы для упрощения возьмём всё же настройку с pre-shared ключом.
crypto isakmp policy 1
authentication pre-share
crypto isakmp key DMVPNpass address 0.0.0.0 0.0.0.0
Тут можно спокойно использовать транспортный режим:
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
mode transportCrypto ipsec profile DMVPN-P
set transform-set AES128-SHA
interface Tunnel0
tunnel protection ipsec profile DMVPN-P
Только не вздумайте поставить tunnel mode ipsec ipv4 :)
IPSec-туннели и карты шифрования будут создаваться динамически для сеансов передачи данных между филиалами и будут перманентными для каналов Hub-Spoke.
Допустим, это провайдерская железка, осуществляющая натирование. То есть фактически на роутере в филиале у нас будет динамический адрес из приватного диапазона на физическом интерфейсе. GRE в чистом виде не может построить VPN при таких условиях, IPSec может, но сложно настраивать. mGRE в связке с IPSec может легко!
Давайте посмотрим как выглядит таблица NHRP в этом случае:
msk-arbat-gw1#show ip nhrp brief
Target Via NBMA Mode Intfc Claimed
172.16.254.4/32 172.16.254.4 10.0.0.2 dynamic Tu0
То есть изучил он всё-таки приватный адрес, выделенный провайдером.
Надо заметить, что в таблице маршрутизации должен быть маршрут до этого приватного адреса, выданного провайдером в филиале, пусть даже дефолтный.
На туннельном интерфейсе у нас активирован IPSec, следовательно должны быть карты шифрования:
msk-arbat-gw1#show crypto map
Crypto Map «Tunnel0-head-0» 65537 ipsec-isakmp
Map is a PROFILE INSTANCE.
Peer = 198.51.103.2
Extended IP access list
access-list permit gre host 198.51.100.2 host 10.0.0.2
Current peer: 198.51.103.2
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
AES128-SHA,
}
Interfaces using crypto map Tunnel0-head-0:
Tunnel0
Таким образом шифрованный туннель строится между 198.51.100.2 и 198.51.103.2, дальше, данные по-прежнему шифрованные за счёт NAT-T в туннеле идут до 10.0.0.2. А дальше вы уже знаете.
Толковая подробная статья по .
Сценарий:
Сеть DMVPN была полностью работоспособной, всё работало корректно.
Но после перезагрузки хаба msk-arbat-gw1 началось странное поведение.
Задание:
1. Проверить работоспособность сети.
2. Перезагрузить хаб
3. После перезагрузки проверить работоспособность сети ещё раз
4. Устранить проблему:
4.1. (минимум) Сделать сеть снова работоспособной
4.2. Сделать так, чтобы сеть восстанавливалась автоматически, после того как хаб снова появится.
Для всевозможных туннелей это совершенно типичная проблема.
Почему же работают пинг и яндекс?
Пакеты ICMP Request и Relpy имеют размер от 32 до 64 байтов, ya.ru возвращает очень мало информации, которая вполне укладывается в допустимый размер 1500 вместе со всеми заголовками.