Что такое vpn доступ. Что такое VPN? как настроить — Virtual Private Network, работа с vpn. Как настроить VPN на Андроиде

Мы выпустили новую книгу «Контент-маркетинг в социальных сетях: Как засесть в голову подписчиков и влюбить их в свой бренд».

VPN - это технология сетевого подключения, при которой в существующей сети может организовываться виртуальная подсеть.

Чтобы понять, VPN что это, разберем пример. Например, вам нужно отправить посылку в другой город и сделать это анонимно. На обычной почте у вас попросят предоставить документ, удостоверяющий личность, то есть отправить посылку анонимно не получится. Да и нет стопроцентной гарантии, что содержимое посылки останется в секрете и ее не вскроют. Но можно воспользоваться услугами специальных компаний, которые передадут посылку, не спрашивая, кто является отправителем, а также они гарантируют полную конфиденциальность содержимого, его целостность и сохранность. VPN выполняет функцию подобных компаний.

Для чего нужен VPN

VPN позволяет надежно передавать данные без искажения.

Использовать данный тип подключения нужно для:

1. Работы с приложениями и их загрузки, когда IP адрес принадлежит другой зоне.
2. Удобного и простого подключения к глобальной сети.
3. Создания безопасного канала, защищенного от атак хакеров.
4. Возможности анонимной работы.
5. Высокой скорости соединения без сбоев в работе.
6. Обеспечения уровня безопасности при работе в корпоративных сетях.

Как работает VPN-подключение

Если подключаться через VPN, сведения об удаленном маршруте и использующемся серверном IP передается в сообщении. Эти сведения, которые проходят по сети находятся в инкапсулированном состоянии, данные зашифрованы, поэтому их нельзя перехватить. Этап шифрования через VPN осуществляется при отправке, а расшифровка уже выполняется по заголовку сообщения на стороне получателя (ключ шифрования при этом должен быть общим). Если расшифровка была выполнена правильно, устанавливается нужный тип соединения.

Если говорить об уровне безопасности, то сегодня интернет не может похвастаться высоким уровнем защиты. А вот если применять VPN вместе с протоколами, удается достичь безопасности и защищенности информации.

Как пользоваться

Необходимо настроить соединение. Разберем шаги на примере самой распространенной ОС - Windows: открываем панель управления и выбираем раздел «Сеть и интернет». Далее: «Центр управления сетями и общим доступом» - "Настройка нового подключения» - «Подключение к рабочему месту». Кликаем возле «Нет, создать подключение» и жмем «Использовать мое подключение».

При входе через интернет вводим IP роутера или интернет-центра (предоставляется провайдером при первоначальной настройке), а при входе через VPN - локальный IP.

Затем настраиваем параметры учетной записи (даются при регистрации интернет-центра/ Wi-Fi роутера, расположены на оборотной стороне устройства), которые необходимы для подключения к РРТР-серверу, это имя пользователя, пароль и домен (домен не обязателен). Мы создали ВПН и теперь для последующих входов можем оптимизировать весь процесс, чтобы сократить время соединения:

• Открываем «Центр управления сетями и общим доступом».
• Жмем «Изменения параметров адаптера».
• Ищем сделанное нами подключение и просматриваем его характеристики (безопасность, свойства и тип VPN).
• Устанавливаем «Туннельный протокол типа точка-точка (РРТР)».

Если не выполнить этого, при каждом выходе в глобальную сеть Windows будет по очереди перебирать доступные варианты, пока не найдет протокол РРТР.

На этом настройка закончена, смело выполняйте подключение.

Как подключить VPN с помощью браузера

Настройка подключения для каждого браузера отличается. Разберем каждый из них:

1. Opera. Данный браузер имеет встроенный безлимитный VPN, пользоваться которым можно бесплатно. Чтобы включить его нужно открыть «Меню», далее пройти в «Настройки», выбрать пункт «Безопасность» и «Включить VPN».
2. Chrome. Здесь не обойтись без помощи специальных расширений. Открываем «Меню», далее «Дополнительные инструменты», далее «Расширения» и «Еще расширения». Вводим «VPN», просматриваем результаты и кликаем по одному из них. В открывшейся вкладке нажимаем «Установить». После этого расширение автоматически установится, а его значок будет отображаться на панели «Меню». Когда нужно будет воспользоваться VPN, кликните на значок и включите расширение. Лучшие расширения: «Hotspot Shield», «Touch VPN». Все они являются бесплатными.
3. Яндекс браузер. Устанавливаем дополнение - сервис ВПН. Открываем «Меню», далее «Дополнения», после этого выбираем «Каталог расширений». В поиске задаем «VPN» и выбираем любой из предложенных вариантов. Далее механизм действия тот же: устанавливаем расширение, его значок появляется в строке «Меню». Перед каждым использованием ВПН подключения, включаем расширение. Хорошо зарекомендовали себя следующие расширения: «TunnelBear», «Hola Better Internet», «Zen Mate».
4. Mozilla. По вышеописанной схеме выполняем установку расширения. Лучшие дополнения: «Hotspot Shield Free VPN Proxy», «Hoxx VPN Proxy», «Zenmate Security".

Раньше государство имело довольно посредственное представление об интернете, поэтому никак юридически не мешало пользователям. Сегодня, гуляя по мировой паутине, все чаще можно встретить фразу: «Этот сайт внесен в реестр запрещенных» или «Ваш провайдер заблокировал доступ».

Так вот, если вы хотите вернуть полную свободу действий в интернете и приобрести еще один уровень защиты, то вам непременно нужно ознакомиться с технологией виртуальных частных сетей – VPN.

VPN: термин и принцип работы

Virtual Private Network (VPN) – название технологии, обеспечивающей создание и наложение одной или нескольких сетей поверх любой другой сети пользователя.

А теперь, как именно работает VPN. Ваш компьютер имеет определенный IP-адрес, который блокирует доступ к определенным сайтам. Вы включаете технологию VPN посредством какой-нибудь программы или расширения. VPN меняет ваш адрес на адрес из сервера иной страны (например, Голландии или Германии).

Далее, создается защитное соединение, блокировать которое невозможно со стороны провайдера. В итоге – вы получаете защищенный протокол, по которому можно беспрепятственно посещать любые сайты интернета, причем совершенно анонимно.

Структура и разновидности технологии

Вся технология работает в два слоя. Первый – это внутренняя сеть, второй – внешняя. Когда вы подключаетесь к технологии, система идентифицирует вашу сеть, а уже после отправит запрос на аутентификацию. Данная технология очень похоже на авторизацию в какой-нибудь социальной сети, только здесь все проводится через защищенные протоколы и без участия провайдера.

Сами виртуальные сети также подразделяются на несколько категорий. Главная классификация идет по степени защиты, то есть пользователь может использовать и платные VPN, и бесплатные.

Разница между ними заключается в защищенном соединении. Например, системы с подпиской дадут вам защищенные протоколы, типа PPTP, IPSec и другие. В то время, как бесплатные VPN чаще дают только «доверительные» каналы. То есть ваша сеть само по себе должна быть сильно защищена, а VPN только усилит уровень защиты.

Если честно, то самый большой минус бесплатных VPN сервисов даже не безопасность, а стабильность работы и скорость подключения. Через бесплатный VPN интернет скорее всего будет работать очень медленно, и не всегда стабильно.

Подписка на платные VPN не превышает и 10 долларов в месяц, но нужна она далеко не каждому пользователю. Для обычных задач нет смысла приобретать Premium-аккаунты, вполне хватит и стандартных возможностей.

Причины использования VPN

Пользоваться технологией VPN необходимо каждому пользователю, и вот почему:

• Защита данных. Особенно подходит тем пользователям, кто любит подключиться к «халявному» соседскому Wi-Fi-соединению, а потом обнаружить, что данные о его карте были украдены. К таким ситуациям относятся и посиделки в кафе и вообще в любых точках с бесплатным Wi-Fi.
• Полная анонимность. Когда вы открываете новую вкладку с сайтом – это действие будет отображаться на сервере провайдера, так что ваше путешествие по интернету может отследить любой сотрудник компании. Включив VPN, вы скроете историю своих просмотров или посещений, так как вы используете иной IP-адрес.
• Возможность серфинга в интернете без препятствий. Букмекерские конторы, интернет-казино, торренты, форумы, сайты для взрослых – все «подполье» интернета вновь доступно для вас, все, как в былые времена.
• Использование зарубежных ресурсов. Это, конечно, вряд ли, что вы будете использовать англоязычные сервисы, типа hulu.com, но все равно – полноценный доступ ко всем популярным сайтам всего мира вам обеспечен.

Как пользоваться VPN на компьютере?

Рассмотрим ситуацию, когда мы пользуемся обычным браузером и хотим посетить заблокированные сайты. В данной ситуации можно пойти двумя путями:

1. установить VPN-клиент (программу) на ПК;
2. добавить расширение для браузера через Webstore.

Что первый, что второй вариант – они легко реализуются, но для полной картины рассмотрим и тот, и другой.

Так же можно использовать бесплатный, .

Чтобы установить VPN-клиент, необходимо скачать программу в интернете, например, «Betternet». Запускаем установочный файл и устанавливаем клиент. Запускаем его, нажимаем: «Connect» и все. Проблема в том, что программа автоматически выдает нам рандомный IP-адрес, и мы не можем выбрать страну, зато при нажатии всего одной кнопки мы уже используем VPN. И еще один минус – это необходимость постоянно запуска программы, впрочем, некоторые клиенты имеют возможность одновременного запуска с ОС.

Второй способ – это добавления расширения. Здесь минус в том, что, чаще всего, требуется регистрация для пользования, плюс, расширения имеют свойства «вылетать». Зато расширение использовать намного проще – кликаешь по иконке в браузере, выбираешь страну и profit. На данный момент существуют тысячи подобных программ, можете выбрать любую из них, например, «Hotspot Shield». Добавьте расширение в браузер, пройдите регистрацию и больше никаких технических моментов не будет.

Например, вот так работает расширение ZenMate VPN в браузере:

О VPN расширениях для разных браузеров мы писали в статье: .

Как пользоваться VPN на мобильных устройствах?

Мы рассмотрим те устройства, что имеют на борту популярные ОС, например, iOS или Андроид.

Использование VPN на смартфонах или планшетах тоже реализуется довольно просто, а именно – через мобильные приложения. Проблема в том, что некоторые программы требуют root-прав, а это дополнительные заморочки, плюс, возможность превращения телефона в «кирпич». Так что ищите те программы, которые не требуют от вас root-прав. На Android, например, это OpenVPN, а на iOS – это Cloak. Так же на iPhone и iPad можно использовать бесплатный и проверенный . Я сам им иногда пользуюсь, отлично работает.

Технология загрузки очень проста: скачиваем приложение из Play Market или AppStore, устанавливаем его на свой девайс. Далее, активируем VPN, выбираем профиль (откуда, получим IP-адрес), далее, проводится соединение и на этом все. Теперь вы гуляете по интернету через VPN, о чем вам и сообщит используемое приложение.

Теперь вы понимаете, как реализована технология VPN-соединений, и теперь ваше пребывание в сети станет более безопасным, анонимным, а главное – доступным и неограниченным.

Привет, друзья! Многие люди пользуются интернетом по принципу “мне нечего скрывать”, но это все равно что сказать “мне плевать на мои права”. Эта статья для тех, кому не плевать на свои права, а также для тех, кто думает о безопасности в интернете. Я расскажу вам простыми словами о том, что такое VPN, зачем он нужен, а также как им пользоваться.

Что такое VPN

VPN расшифровывается как Virtual Private Network. В переводе на русский – виртуальная частная сеть. Впн – это технология, которая обеспечивает зашифрованное соединение поверх вашего интернет-соединения.

Благодаря VPN вы будете защищены от перехвата логинов/паролей в незащищенных или публичных WI-FI точках, история вашего посещения сайтов не будет доступна никому, а блокировки сайтов вы забудете как страшный сон. Это относится и к торрентам, и к любым другим якобы запрещенным сайтам.

К индустрии проектов руки “блокировщиков” тоже дотянулись. Недавно была заблокирована популярная биржа биткоинов, крупный форум об инвестициях и ещё неизвестно сколько сайтов. Заблокировать могут и доступ к сайту любой платежной системы, например к . Благо что нелепые блокировки пользователей VPN не касаются:)

Что делает ВПН

1. VPN подменяет ваш реальный IP на подставной, например на итальянский или нидерландский, если вы используете VPN, то вы в сети практически невидимы. Вы заходите на сайт, а видят что вы, к примеру, не из России, а из Германии. За счет этого вам не страшны никакие блокировки сайтов.

2. Зашифровывает соединение – ни ваш провайдер, ни сисадмин на работе не узнает куда вы заходили.
- Что вообще видит сисадмин/провайдер, когда вы без VPN? Всю историю вашего серфинга, всё без исключения сайты, на которые вы заходите.
- Что он видит, когда вы работаете через VPN? Что вы подключились через VPN и… всё, больше ему ничего неизвестно:)
А также злоумышленники при перехвате данных не смогут их распознать из-за шифрования.

3. В сумме с подменой IP и шифрованием трафика вы становитесь полностью анонимны.

Зачем нужен VPN

• Если вы любите посещать кафе и сидите там в интернете через Wi-Fi или часто путешествуете и подключаетесь к открытым Wi-Fi точкам - никакой наглый хакер, сидящий за соседним столиком, не перехватит данные вашей пластиковой карты с CVV­ кодом или не украдет пароль от платежной системы вместе с вашими деньгами. Причем не важно, работаете ли вы с ноутбука или с мобильного устройства – без ВПН они одинаково не защищены.
• Вы цените анонимность и вам неприятен тот факт, что любой сисадмин провайдера имеет доступ к посещенным вами сайтам или с каких ЭПС вы пополняете/снимаете крупные суммы. Провайдер больше не будет знать, какие сайты вы посещаете, а сайты не будут знать, кто их посетил.
• На работе любите сидеть в YouTube/ВКонтакте/мессенджерах, но не хотите, чтобы это пронюхал начальник или сисадмин. Знаю, что вы успешный инвестор и давно не ходите на работу, это я так, на всякий случай:)
• Хотите видеть интернет таким, каким он должен быть – посещать сайты без ограничений службы, которая просто пачками блокирует сайты. На момент написания статьи заблокировано более 2 млн сайтов (статистика ведется ). Также не редкость, когда требуют блокировки определенной страницы или раздела, а провайдер не разбираясь блочит весь сайт.
• Любимый сервис ограничивает доступ из вашей страны или предоставляет привилегии/бонусы/скидки конкретным странам? С помощью ВПН станьте резидентом любой страны и получайте все преимущества сервисов.

Как пользоваться VPN (на примере NordVPN)

Сам я сижу в интернете только через ВПН и могу порекомендовать отличный сервис под названием NordVPN. Скажу сразу, сервис платный, стоимость 12$ в месяц, при оплате на пол года стоимость за месяц 9$, при оплате на год – 7$.

Да, в интернете полно бесплатных VPN сервисов, но содержание серверов стоит денег, поэтому если сервис не берет с вас оплаты, он зарабатывает на вас как-то иначе и это «иначе» может обойтись гораздо дороже, чем оплата надежного VPN. Безопасность – не тот вопрос, на котором стоит экономить.

Обзор NordVPN, его возможности

• Практически никакого влияния на скорость подключения, лично проверено:)
• Поддержка Windows, MacOS X, Linux, Android, iOS;
• Возможность использовать один аккаунт на 6-ти устройствах одновременно;
• На выбор доступно более 50 стран и свыше 500 серверов;
• Подключение к NordVPN одним кликом;
• Если у вас пропадет VPN соединение, автоматически закроются программы, которые вы указали в настройках. Можно не волноваться за утечку данных;
• Защита от распознавания через DNS и WebRTC (это ребята, через которые виден ваш реальный IP даже при включенном VPN);
• Поддержка DoubleVPN (цепочка из двух впн серверов);
• Никаких ограничений: торренты, звонки, HD видео, онлайн игры – всё работает без проблем;
• Поддержка биткоинов и оплаты через пластиковые карты. Но мы ведь любим анонимность, поэтому если вы ещё не завели себе биткоин кошелек, ловите инструкцию ;
• Любые запросы игнорируются, потому что сервис находится под юрисдикцией Панамы и не подчиняется законам других стран.

Создаем аккаунт в NordVPN

1) Переходим по ссылке , нажимаем “Получить VPN” и выбираем тариф.
2) Нас перекидывает на форму регистрации аккаунта. Выбираем тариф, заполняем email и пароль, выбираем удобный вариант оплаты и жмем “Зарегистрироваться”.
3) Подтверждаем оплату и заходим в личный кабинет с помощью логина и пароля .

Скачиваем клиент и включаем VPN (на примере Windows)

1) В личном кабинете на сайте переходим во вкладку “Область загрузки”, находим свою операционную систему и качаем клиент. Если у вас Windows, то выбирайте строчку, рядом с которой стоит “recommended”. Если вам нужен VPN на мобильном устройстве, найдите NordVPN в своем магазине приложений и скачайте.

2) Устанавливаем программу и запускаем её. На скриншоте ниже видно, как выглядит программа (скрин увеличивается по клику). Во вкладке “Servers ” вы можете выбрать любую страну для подключения.

Настройка NordVPN

Если вы хотите максимальной защиты и всё настроить под себя, тогда нажмите на “Settings”:

За что отвечает каждый пункт:

Automatic updates – при выходе новых версий обновлять программу автоматически;
Auto connect to – при запуске NordVPN автоматически подключится к выбранному серверу;
Start NordVPN on startup – запускать VPN вместе со стартом системы;
Kill switch – выбрать программы, которые автоматически закроются, если соединение с VPN пропадет. Для выбора программы нажмите “Add more applicatios” и найдите на компьютере нужную программу, к примеру браузер и мессенджер;
Notifications – получать уведомления, когда происходит соединение или отключение от НордВПН;
Show tray icon – показывать значок программы в системном трее;
Start minimized – стартовать в свёрнутом виде;
System of measurement – выбрать в метрической (км) или имперской системе (мили) показывать расстояние до серверов.

VPN — это ни что иное как технология Virtual Private Network. И если перевести приблизительно на русское наречие, будет так: виртуальная частная сеть.

Вся эта технология попросту призвана для того, чтобы некие компьютеры (их взаимосвязь) объединить в среде защищённой сети: например, чтобы обеспечить владельцам этих компов зашифрованный канал и анонимный доступ к сетевым же сторонним ресурсам.

То есть, скажем так, что-то вроде сети в сети, — но использование технологий VPN предоставляет более безопасное соединение всех объединённых компьютеров. Таким образом, компьютерные машины могут располагаться в разных концах света (расстояние не имеет решающего значения) а их пользователи запросто и безопасно обмениваться «тайными» документами:

Но давайте по порядку:

как работает VPN (впн)

Текст по пунктам:

Virtual Private Network - виртуальная частная сеть - общий принцип технологий, позволяющих достаточно легко обеспечить одно или несколько сетевых соединений (некую локальную логическую сеть) внутри основной сети — к примеру, интернет.

Виртуальные частные сети отрабатываются через так называемые туннели, которые устанавливают между «одним-двумя» компьютерами и удаленными серверами.

Все передаваемые через этот туннель данные (или почти все)) будут шифроваться — т.е зашифрованы.

Ну, для принципиального примера: представьте себе некое озеро (у нас это будет типа интернет) поверх которого ходят всевозможные парусники, яхточки, лодочки… пользователи сети. За всем этим сёрфингом запросто можно наблюдать!..

Однако маршрут (туннель) VPN в этом спектакле будет выступать в подобии подводной лодки, которая ходит под водой по определённым закрытым шифрованным каналам (туннелям), и, как понимаете, вся информация помещённая внутрь этой нашей подлодки и будет наша с вами информация, но укрытая от посторонних глаз, и передаваемая с максимально возможной между точками соростью (такой вот пример — каламбур вышел).

Примерно то же самое показано на фотке ниже:

картинка с чужого сайта (адрес утерян, но очень уж понравилась)

для чего можно использовать VPN рядовому пользователю

1. Некий сайт заблокирован (нет доступа) но вам до зарезу, нужно его посещать… описание ещё одного способа решения проблемы посещения заблокированного сайта.
2. Если мы часто пользуемся онлайн банкингом, и нужно как-то обезопасить наши операции.
3. …или какой-то ресурс (сайт) «транслируется» только для стран Европы, а вам опять же до.. зу… нужно «его» читать, или смотреть фильмы…
4. Вы не хотите, чтобы те сайты, которые вами посещаются, отслеживали (а, возможно, и присваивали) ваши данные!
5. Или, к примеру, у вас нет примочки роутер, однако, есть возможность соединить пару-тройку компьютеров в локальную сеть, обеспечив тем самым доступ к web интернету обоим компам.

Ну а чтобы всем этим благом VPN замечательно пользоваться, достаточно иметь: саму сеть, компьютер (планшет) и удалённый сервер.

принцип работы vpn и шифрования выглядит так

Создаётся среда виртуальной сети между компьютером пользователя и сервером с установленным программным обеспечением впн. Ну, например Openvpn.

В программах обслуживания создаётся — генерируется ключ (пароль) — который служит для шифрования (на выходе) и расшифровывания (на входе) к клиенту (нас с вами)

И вот при такой обеспеченной связке, компьютер создаёт запрос — который и шифруется посредством созданного ранее ключа.

Ну и вряд ли стоит говорить, что вся эта «шифровка» передаётся по туннелю на связующий компьютеры сервер.

После того, когда данные успешно пришли по туннелю на сервер, — расшифровываются и «включается» выполнение запроса: отправка файла (документа), запуск подслушивания песни и т.п…))

Сервер же подготавливает ответ на запрос и отправляет клиенту: шифрует всё это и — заказанное у вас, причём «совершенно секретно».

Однако, чтобы файлы были вами получены чистенько и читаемо, ваш компьютер расшифровывает данные созданным (сгенерированным) ранее ключом.

Что забавно:

устройства, входящие в виртуальную частную сеть, могут находится на любом удалении друг от друга (т.е не привязаны к географическим ограничениям)

как и где можно использовать VPN технологии

Изобретатели этакого чуда советуют использовать vpn для передачи любых данных (это в идеале) чтобы те не оказались в руках третьих-четвёртых лиц: ну, понимаете — всякие там пароли, логины… номера карточек, любовная переписка и т.д…

Особливо эта технология спасает, когда мы с вами используем открытые точки доступа Wi-Fi где-нить в кафешках, парках отдыха и аэро-космо-портах…

Также пригодится технология тем товарищам, которые хотят беспрепятственно заходить на любые сайты/площадки трекеры-сервисы, а в том числе и заблокированные неким провайдером, либо же ресурсы, которые ограничили круг своих пользователей.

некоторые отличия VPN от TOR, proxy и анонимайзеров

VPN работает глобально и перенаправляет через системный туннель работу полного программного обеспечения, установленного на некоем компьютере.

Любой запрос — через браузер, чат, клиент облачного хранилища, например, dropbox — перед приходом адресату, мчится через туннель и шифруется. Промежуточные «машины», как Сусанин, путают следы «ваших данных» шифруют и — расшифровывают только перед отправкой конечному адресату: то бишь нам с вами. Каково!

И в итоге замечательного смысла, — конечный адресат запроса, к примеру, сайт, где мы не хотели бы оставить свой след)) фиксирует не данные пользователя (наши), не наше же географическое положение и пр. и пр… НО!! данные VPN сервера.

т. е. теоретически сложновато отследить какие сайты интересуют (и посещает) пользователь и что он там на них работает (наши с вами интересы в тайне)).

В определённой степени аналогами VPN можно справедливо считать анонимайзеры, proxy и TOR, однако — все эти перечисленные плюшки, в чем-то здорово проигрывают и уступают виртуальным частным сетям — VPN.

А посему, давайте посмотрим, чем же:

чем отличается VPN от TOR

Очень подобно VPN — технология TOR обеспечивает шифрование запросов и передачу их от пользователя к серверу. И, соответственно, наоборот. Только вот прелестная закавыка — постоянных туннелей система TOR не создает!! пути же передачи/получения данных пользователя меняются при каждом его обращении (запросе), а это, как понимаете — сокращает шансы на перехват ценных пакетов данных. Однако следует сказать: постоянная обработка/создание «шифров» мощно сказывается на скорости доставки самих пакетов данных.

Выбор за нами.

TOR — поддерживается энтузиастами. Совершенно бесплатно! и в том случае «халявы» ожидать какой-то стабильной работы не приходится.

чем отличается VPN от proxy

Не шифрованием, попросту…

Proxy как и VPN перенаправляют запрос от сайта к сайту (компа пользователя) и аналогично же пропускает этот запрос через некие серверы-посредники (расположенные где-то далеко).

Однако скрываемая закавыка заставляет задумываться!! — перехватить запросы, организованные рroxy несложно, — обмен информацией совершается без какого-либо и даже простого шифрования.

Алекс к Юстасу не выйдет))

чем отличается VPN от анонимайзера

Достаточно будет сказать, что, анонимайзер — кастрированный (урезанный) вариант proxy, способный более-менее прилично работать только в окне открытой вкладки браузера (ограничен рамками обозревателя).

Через анонимайзер возможно удастся зайти на нужную страницу, но воспользоваться большинством возможностей (его собратьев, описанных выше) никоим разом не получится.

Стоит ли добавлять, что и о каком бы то ни было шифровании толковать нечего…

По скорости обмена данными выиграет, конечно же, proxy, ибо не используется шифрование канала.

На втором месте прочно обосновался пока что VPN, ибо способен чётко обеспечить не только анонимность, но и защиту по «зашифрованному каналу/туннелю).

Третье местечко захватил анонимайзер, хотя и ограничен работой в открытом окне обозревателя (браузера).

TOR сойдёт, когда нет времени, желания или возможности подключиться к VPN. Как понимаете из сказанного выше, — на скоростную обработку наших запросов полагаться не стоит.

Конечно же, это весьма приблизительные расчёты прелестей и скоростей, но — принципиально близко!! ибо многое зависит от загруженности используемых серверов Мира. Или от принятых законов той или иной страны этого мира.

…что нужно знать при выборе

Модная в нынешние временам статья о том, — потому что даже если отстанут от Телеграм, то непременно пристанут к какой-то другой площадке!! Так что нелишне иметь под рукой знания! а знания в статье по ссылке…

(на примере NordVPN)…

…и напоследок давайте посмотрим

как подключиться к интернет через VPN

В сегменте ru предлагается масса и масса способов и сервисов по обеспечению доступа к VPN. И гораздо больше вариаций подключиться к vpn в мире!

Сервисы платные! — бесплатные оставим за скобками.

От нескольких долларов, до нескольких десятков/сотен долларов в месяц/год.

Если что-то не ясно и остались вопросы, делитесь ими в комментариях...

Если попытаться провести аналогии с осязаемым миром, то представим ситуацию, когда вы едете из деревни, инкапсулированные в автомобиль. Доезжаете до реки, и вам надо перебраться на другой берег и там продолжить своё путешествие в город.
На речном порту ваш автомобиль инкапсулируют в паром и переправляют через бушующие волны на другую сторону, где ваш автомобиль извлекают, и вы продолжаете движение. Так вот этот паром и был GRE-паромом.

Сделаем три ремарки:
Во-первых, интерфейсы Loopback и адреса с маской /32 мы выбрали просто для теста, фактически это вполне бы могли быть интерфейсы fa1/0.15 и fa0/1.16 с подсетями 172.16.15.0/24 и 172.16.16.0/24, например, или любые другие.
Во-вторых, мы тут всё ведём речи о публичных сетях и адресах, но на самом деле, конечно, это не имеет значения и туннели вполне можно поднимать даже внутри своей корпоративной сети, когда конечные сети и так имеют IP-связность без туннеля.
В-третьих, несмотря на то, что теоретически обратно трафик может возвращаться и не по туннелю, создать его необходимо, чтобы конечный узел могу успешно декапсулировать GRE-пакеты

Обычный GRE – яркий пример туннелирования, который очень просто настраивается и сравнительно легко траблшутится.
Очевидно, вы уже догадываетесь, какие три большие проблемы подстерегают нас на этом поле?

• Безопасность. Данные, инкапсулированные в GRE, передаются тем не менее в открытом виде.
• Сложность масштабирования. Если у вас 5-7 филиалов, обслуживание такого количества туннелей ещё кажется возможным, а если их 50? Причём туннелирование трафика зачастую производится на CPU, особенно на младшей и средней линейках, поэтому это лишняя нагрузка на процессор.
• Все филиалы будут взаимодействовать друг с другом через центральный узел, хотя могли бы напрямую.

IPSec

Первую озвученную выше проблему призвано решить шифрование.

Сейчас для организации шифрованного VPN-канала используются преимущественно следующие технологии: IPSec (IP Security), OpenVPN и PPTP (Point-to-Point Tunneling Protocol).

Бессменным лидером, конечно, является IPSec, о нём и поговорим.

Для начала нужно уяснить себе, что IPSec – это не протокол, это стандарт, включающий в себя целых три протокола, каждый со своими функциями:

1. ESP (Encapsulating Security Payload – безопасная инкапсуляция полезной нагрузки) занимается непосредственно шифрованием данных, а также может обеспечивать аутентификацию источника и проверку целостности данных
2. AH (Authentication Header – заголовок аутентификации) отвечает за аутентификацию источника и проверку целостности данных
3. IKE (Internet Key Exchange protocol – протокол обмена ключами) используется для формирования IPSec SA (Security Association, об этом чуть ниже), проще говоря, согласования работы участников защищенного соединения. Используя этот протокол, участники договариваются, какой алгоритм шифрования будет использоваться, по какому алгоритму будет производиться (и будет ли вообще) проверка целостности, как аутентифицировать друг друга

Прежде чем переходить дальше, разберемся с термином SA – Security Association. SA в общем смысле представляет собой набор параметров защищенного соединения (например, алгоритм шифрования, ключ шифрования), который может использоваться обеими сторонами соединения. У каждого соединения есть ассоциированный с ним SA.
Теперь по порядку, как создается защищенное соединение в IPSec:

• Для начала, участникам надо договориться, какие алгоритмы/механизмы защиты они будут использовать для своего защищенного соединения, поэтому в дело вступает IKE. Процесс состоит из двух фаз:
  • Фаза первая: участники аутентифицируют друг друга и договариваются о параметрах установки специального соединения (тоже защищенного), предназначенного только для обмена информацией о желаемых/поддерживаемых алгоритмах шифрования и прочих деталях будущего IPSec-туннеля. Параметры этого мини-туннеля (правильно он называется ISAKMP Tunnel) определяются политикой ISAKMP, в режим редактирования которой мы можем попасть из конфигурационного режима командой crypto isakmp policy номер_политики . Если стороны пришли к соглашению, устанавливается ISAKMP туннель (его наличие можно посмотреть командой show crypto isakmp sa ), по которому уже проходит вторая фаза IKE.
  • Фаза вторая: уже доверяющие друг другу участники договариваются о том, как строить основной туннель для данных. Они по очереди предлагают друг другу варианты, указанные в команде crypto ipsec transform-set , и, если приходят к согласию, поднимают основной туннель. Нужно сказать, что, после его установления, вспомогательный ISAKMP туннель никуда не пропадает – он используется для обновления SA основного. Дело в том, что ключи, выбираемые для шифрования информации в IPSec-туннеле, имеют некоторое “время жизни” (может выражаться как в количестве байт, так и в секундах – что первое достигнет порогового значения), по истечение которого должны быть заменены. Это как пароль, который вы меняете раз в час (по умолчанию lifetime IPSec SA составляет 4608000 килобайт/3600 секунд).
• Участники получили шифрованный туннель с параметрами, которые их всех устраивают, и направляют туда потоки данных, подлежащие шифрованию, т.е., подпадающие под указанный в crypto map аксесс-лист.
• Периодически, в соответствии с настроенным lifetime, обновляются ключи шифрования для основного туннеля: участники вновь связываются по ISAKMP-туннелю, проходят вторую фазу и устанавливают новые SA.

Строго говоря, в этом процессе есть нулевой шаг: некий трафик должен попасть в соответствие аксесс-листу в крипто мапе. Только после этого будет происходить все остальное.

Теперь немного о трансформ-сете и чем отличается ESP от AH. Как будут шифроваться наши данные, идущие через туннель, определяет команда crypto ipsec transform-set имя_сета , после которой идет название протокола, который будет использован (ESP или AH) + алгоритм, по которому будет работать протокол. Например, команда crypto ipsec transform-set SET1 esp-aes даст понять роутеру, что трансформ-сет с именем “SET1”, если он будет применен, будет работать только по протоколу ESP c шифрованием алгоритмом AES. Ну если с ESP все более-менее понятно, его дело-шифровать (обеспечивать конфиденциальность ), то что такое AH и зачем он вообще нужен? AH обеспечивает аутентификацию данных, то есть дает уверенность, что эти данные пришли именно от того, с кем мы установили связь, и не были изменены по дороге. Если не углубляться в подробности, работает это так: в каждый пакет между заголовком IP и заголовком транспортного уровня вставляется заголовок AH, в котором присутствует:

• информация, по которой получатель может понять, к какой SA относится данный пакет (т.е., в том числе, по какому алгоритму ему считать хеш для сравнения – MD5 или SHA)
• так называемый ICV (Integrity Check Value), представляющий собой хеш от пакета (на самом деле, не всего пакета, а неизменяемых в процессе путешествия полей), который позволяет однозначно убедиться получателю, что этот пакет не изменялся по дороге, путем вычисления хеша от той же информации и сравнения результата со значением этого поля.

IPSec может работать в двух режимах: туннельном и транспортном.

Туннельный режим работы IPSec

В этом режиме берётся ваш изначальный IP-пакет, шифруется полностью, вместе с заголовком IP, добавляется служебная информация IPSec и новый заголовок IP:

*рисунок не точен и показывает лишь суть, на самом деле заголовков там больше, а так же есть трейлеры в конце.

Это режим по умолчанию.

Давайте опять разберёмся по ходу настройки.

На локальной стороне:

Сначала общую политику для фазы 1 – установление первого, вспомогательного туннеля: тип шифрования (по умолчанию DES) и аутентификации. Аутентификацию можно делать на основе сертификатов, но мы рассмотрим простой пример с предварительным ключом:

crypto isakmp policy 1
encr aes
authentication pre-share

Часто задаются несколько таких политик с различными комбинациями шифрования, хеша и группы DH.
При создании isakmp sa, та сторона, которая инициирует соединение, отправляет все локально настроенные политики isakmp.
Принимающая сторона просматривает по очереди, в порядке приоритетности свои локально настроенные политики. Первая же политика, для которой найдено совпадение, будет использоваться.

Указываем pre-shared key для проверки подлинности соседа 200.0.0.1

crypto isakmp key CISCO address 200.0.0.1

Далее мы указываем параметры для обработки трафика. Алгоритм шифрования AES с использованием ESP-заголовка и алгоритм аутентификации.

На самом деле мы указываем сразу набор протоколов, как вы видите, он и называется transform-set. При установке IPSec-сессии маршрутизаторы обмениваются этими наборами. Они должны совпадать.

Для упрощения траблшутинга имена для transform-set обычно даются по применённым протоколам.

Теперь создаём карту шифрования:

crypto map MAP1 10 ipsec-isakmp
set peer 200.0.0.1
match address 101

Вот именно тут и определяется адрес соседа IPSec, с которым потом будет устанавливаться туннель – 200.0.0.1. Тут же привязывается набор протоколов и ACL, определяющий, какой трафик будет шифроваться и передаваться через туннель.

В нашем случае он выглядит так:

access-list 101 permit ip host 10.0.0.0 host 10.1.1.0

Будьте внимательны при задании ACL. Он определяет параметры не только исходящего трафика, но и входящего (в отличие от ACL для NAT, например).
То есть если придут пакеты не от 10.1.1.0, а от 10.2.2.2, он не будет обработан и дешифрован.

То бишь, если мы генерируем трафик с хоста с адресом 10.0.0.0 на 10.1.1.0, то он и только он будет шифроваться и отправляться именно в IPSec-туннель. Любой другой пойдёт простым путём.

Заметим, что шифрование, происходит практически в самую последнюю очередь, после маршрутизации.
И это, кстати, очень важный момент. Вам недостаточно маршрута до публичного адреса пира (200.0.0.1). Нужен маршрут до 10.1.1.0 пусть даже он дефолтный. Иначе пакет будет отброшен в соответствии с обычными правилами маршрутизации.
Как бы странно это ни казалось, но трафик в локальную сеть у вас должен быть “зарулен”, например, в Интернет. При этом приватные пакет, которые уже вот-вот должны быть отправлены к провайдеру и там отброшены, в последний момент шифруется, получая публичные адреса.
Кстати, есть таблица с порядком следования операций, производимых над трафиком.

Последний шаг – привязка карты шифрования к интерфейсу. Пока вы этого не сделаете механизм не будет работать.

interface FastEthernet0/0
crypto map MAP1

С обратной стороны нужно произвести симметричную настройку.
Поэтому просто применяем следующую конфигурацию на R3:

crypto isakmp policy 1
encr aes
authentication pre-share
crypto isakmp key CISCO address 100.0.0.1
!
!
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
!
crypto map MAP1 10 ipsec-isakmp
set peer 100.0.0.1
set transform-set AES128-SHA
match address 101

Interface FastEthernet0/1
crypto map MAP1

Access-list 101 permit ip host 10.1.1.0 host 10.0.0.0

Вот и всё.

Но сколько бы вы после ни смотрели show crypto session или show crypto isakmp sa , вы увидите только Down . Туннель никак не поднимается.
Счётчики show crypto ipsec sa . Так же по нулям.

R1#sh crypto session

Interface: FastEthernet0/0
Session status: DOWN
Peer: 200.0.0.1 port 500
Active SAs: 0, origin: crypto map

R1#sh crypto isakmp sa

Дело в том, что вам необходимо пустить в него трафик. В прямом смысле, например так:

R1#ping 10.1.1.0 source 10.0.0.0

Sending 5, 100-byte ICMP Echos to 10.1.1.0, timeout is 2 seconds:
Packet sent with a source address of 10.0.0.0
.!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 60/94/160 ms

И как только вы это сделали, вас ждёт успех:

R1#sh crypto session
Crypto session current status

Interface: FastEthernet0/0
Session status: UP-ACTIVE
Peer: 200.0.0.1 port 500
IKE SA: local 100.0.0.1/500 remote 200.0.0.1/500 Active
IPSEC FLOW: permit ip host 10.0.0.0 host 10.1.1.0
Active SAs: 2, origin: crypto map

R1#sh crypto isakmp sa
dst src state conn-id slot status
200.0.0.1 100.0.0.1 QM_IDLE 1 0 ACTIVE

Начальная конфигурация: «IPsec»
Маршрутизатор R1 стоит в центральном офисе.
Маршрутизатор R3 - это маршрутизатор в одном из филиалов.
К схеме добавляется маршрутизатор R4 - второй филиал.

Задание:
1. Настроить туннель IPsec с использованием crypto-map между R4 и R1:
- Политики защиты данных такие же, как и для туннеля между R3 и R1.
2. Добавить соответствующие настройки для того чтобы R3 и R4 также могли обмениваться данными:
- Данные между филиалами за R3 и R4 должны передаваться через центральный маршрутизатор R1

Конфигурация: «IPsec»

Примечание:
Задача может быть решена, как теоретически, так и практически.
Если Вы будете пробовать задачу на практике, то внимательно соблюдайте условия задачи.

Условия задачи:
Маршрутизатор R1 стоит в центральном офисе и к нему будут подключены 3 филиала (для данной задачи достаточно маршрутизаторов R1, R2, R3. R3 - в роли одного из филиалов). В филиалах используются маршрутизаторы с разными возможностями, и необходимо использовать разные политики IPsec. Всего есть 3 различные политики.
На маршрутизаторе R3, кроме туннеля в центральный офис также есть несколько туннелей с партнерами. Поэтому тут тоже созданы различные политики.
Трафик передается только из филиалов в центральный офис, между филиалами коммуникаций нет.

Со стороны филиала R3 в центральный офис R1 генерируются данные, которые инициируют туннель VPN.
Вопрос: Какую политику защиты данных будут использовать маршрутизаторы для построения туннеля между собой?

Схема: «итоговая схема задачи 7.1»
Конфигурации устройств: на сайте проекта

Описание проблемы:
Не передаются данные между R1 и R4.

Задание:
Найти ошибку и исправить конфигурацию так, чтобы туннель между R1 и R4 установился и передавался трафик между R1 и R4.

Конфигурация: на сайте проекта

Описание проблемы:
После настройки GRE over IPSec между R1 и R3, всё прекрасно работает, трафик между R1 и R3 (c 10.0.0.0 на 10.1.1.0) передается.
Однако, через несколько дней, когда администратор хотел посмотреть состояние VPN, обнаружилось, что на маршрутизаторах вообще нет установленных SA.
Соответственно, трафик между R1 и R3 не шифруется.

Задание:
Необходимо проверить настройки, исправить конфигурацию и сделать так, чтобы трафик шифровался (трафик между loopback-интерфейсами 10.0.0.0 и 10.1.1.0).

Можно сделать тут ещё одно дополнение: технически, можно исключить четырёхбайтовый заголовок GRE из пакета, указав с обеих сторон, что режим работы туннеля IPIP:

interface Tunnel0
tunnel mode ipip

Нужно правда помнить, что в этом случае инкапсулировать можно только данные IP, а не любые, как в случае GRE.

Схема: «GRE_over_IPSec»

Задание:
Изменить исходную конфигурацию GRE over IPSec и настроить GRE over IPsec без использования crypto-map.

DMVPN

Апофеоз сегодняшнего выпуска – DMVPN (Dymamic Multipoint VPN). До сих пор речь была об универсальных вендоронезависымых вещах. К сожалению, DMVPN – вещь сугубо цисковская и открытых адекватных аналогов пока не имеет (поправьте, если ошибаюсь).

В предыдущих частях мы решили проблему с безопасностью передаваемых данных – теперь мы их шифруем – и с IGP – посредством GRE over IPSec мы используем протоколы динамической маршрутизации.
Осталась последняя проблема – масштабируемость.
Хорошо, когда у вас вот такая сеточка:

По два туннеля на каждом узле и всё.
Добавляем ещё один узел:

И ещё один:

Нужно уже гораздо больше туннелей для получения полносвязной топологии. Типичная проблема со сложностью m*(m-1)/2.
Если не использовать Full-Mesh, а обратиться к топологии Hub-and-Spoke с одной центральной точкой, то появляется другая проблема – трафик между любыми филиалами будет проходить через центральный узел.

DMVPN позволяет решить обе проблемы.
Суть такая: выбирается центральная точка Hub (или несколько). Она будет сервером, к которому будут подключаться клиенты (Spoke) и получать всю необходимую информацию. При этом:

1) Данные будут зашифрованы IPSec
2) Клиенты могут передавать трафик непосредственно друг другу в обход центрального узла
3) Только на центральном узле необходим статический публичный IP-адрес. Удалённые узлы могут иметь динамический адрес и находиться даже за NATом, используя адреса из частных диапазонов (Технология NAT Traversal). Но при этом возникают ограничения по части динамических туннелей.

Это всё средоточие мощи GRE и IPSec, сдобренное NHRP и IGP.

Теория и практика DMVPN

Абстрагируясь от нашей старой сети, возьмём в рассмотрение только Москву, сеть Интернет, которую будет эмулировать маршрутизатор Балаган-Телеком, и собственно филиалы в Новосибирске, Томске и Брно:

Новый IP-план:
Подсети, выделенные для подключения к интернету филиалов:

Для туннельных интерфейсов возьмём внутреннюю сеть:

И назначим также адреса Loopback для них:

Идея заключается в том, что на центральном узле будет один единственный динамический туннель, который мы настроим в самом начале, а при добавлении новых удалённых точек, здесь не нужны изменения – ни добавлять новые туннельные интерфейсы, ни перенастраивать уже существующий.
Фактически при добавлении новых узлов настраивать нужно только их.
Везде запускается протокол NHRP – NBMA Next Hop resolution Protocol.
Он позволяет динамически изучать адреса удалённых точек, который желают подключиться к основной.
На нём и основана возможность реализации multipoint VPN. Хаб (центральный узел) здесь выступает как сервер (NHS – Next-Hop Server), а все удалённые узлы будут клиентами (NHC – Next-Hop Client).
Звучит это сложно. На пальцах объяснить тоже не получится. Надо лишь один раз настроить и посмотреть, как бегают пакеты.

Конфигурация хаба:

interface Tunnel0


ip nhrp network-id 1

tunnel mode gre multipoint

По порядку:
ip address 172.16.254.1 255.255.255.0
ip nhrp map multicast dynamic – Динамическое изучение данных NHRP от клиентов. Поскольку клиентов у нас множество и они могут быть с динамическими адресами, на хабе нельзя задать явное соответствие внутренних и внешних адресов.
ip nhrp network-id 1 – Определяем Network ID – просто идентификатор, который необязательно должен быть одинаковым на всех узлах DMVPN (похож на OSPF Router-ID).
tunnel source FastEthernet0/1.6 – наследие GRE – привязка к физическому интерфейсу.
tunnel mode gre multipoint – Туннель на центральном узле будет терминировать все туннели от удалённых точек. То есть он будет точка-многоточка (Point-to-MultiPoint).

Конфигурация филиала:

interface Tunnel0



ip nhrp network-id 1
ip nhrp nhs 172.16.254.1
ip nhrp registration no-unique

tunnel mode gre multipoint

По порядку:
ip address 172.16.254.2 255.255.255.0 – IP-адрес из нужного диапазона.
ip nhrp map 172.16.254.1 198.51.100.2 – Статическое соотношение внутреннего и внешнего адресов хаба.
ip nhrp map multicast 198.51.100.2 мультикастовый трафик должен получать хаб.

Без этой команды у вас будут довольно интересные симптомы проблемы.
Вот вы запустили OSPF, пиринг поднимается, хаб и филиалы переходят в состояние Full, обменялись маршрутами, и вы уже радуетесь, что всё отлично, и тут бац – пинг пропадает, пиринг падает, но только с одной стороны, мол истёк dead-timer.

*Mar 1 01:51:20.331: %OSPF-5-ADJCHG: Process 1, Nbr 172.16.255.2 on Tunnel0 from FULL to DOWN, Neighbor Down: Dead timer expired
msk-arbat-gw1#
*Mar 1 01:51:25.435: %OSPF-5-ADJCHG: Process 1, Nbr 172.16.255.2 on Tunnel0 from LOADING to FULL, Loading Done

Что за фигня?
Смотрим дебаг, смотрим дампы

*Mar 1 01:53:44.915: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.4 from 172.16.2.1
*Mar 1 01:53:44.919: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.7 from 172.16.2.33
*Mar 1 01:53:44.923: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.5 from 172.16.2.17
*Mar 1 01:53:44.923: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.8 from 172.16.2.129
*Mar 1 01:53:44.963: OSPF: Send hello to 224.0.0.5 area 0 on Tunnel0 from 172.16.254.1
msk-arbat-gw1#
*Mar 1 01:53:54.919: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.4 from 172.16.2.1
*Mar 1 01:53:54.923: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.7 from 172.16.2.33
*Mar 1 01:53:54.927: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.5 from 172.16.2.17
*Mar 1 01:53:54.931: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.8 from 172.16.2.129
*Mar 1 01:53:54.963: OSPF: Send hello to 224.0.0.5 area 0 on Tunnel0 from 172.16.254.1
msk-arbat-gw1#
*Mar 1 01:54:04.919: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.4 from 172.16.2.1
*Mar 1 01:54:04.927: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.7 from 172.16.2.33
*Mar 1 01:54:04.931: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.5 from 172.16.2.17
*Mar 1 01:54:04.935: OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1.8 from 172.16.2.129
*Mar 1 01:54:04.963: OSPF: Send hello to 224.0.0.5 area 0 on Tunnel0 from 172.16.254.1



На 5 OSPF Hello от хаба только один Hello от филиала.
Как вы уже поняли, маршрутизатор просто не может сообразить куда посылать мультикастовые сообщения на адрес 224.0.0.5, хаб их не получает и дёргает OSPF-сессию.

ip nhrp network-id 1 – Network ID. Не обязательно должен совпадать с таким же на хабе.
ip nhrp nhs 172.16.254.1 – Статически настроенный адрес NHRP сервера – хаба. Именно поэтому в центре нам нужен статический публичный адрес. Клиенты отправляют запрос на регистрацию на хаб 172.16.254.1. Этот запрос содержит настроенный локальный адрес туннельного интерфейса, а также свой публичный адрес (случай, когда клиент находится за NAT пока не рассматриваем).
Полученную информацию хаб заносит в свою NHRP-таблицу соответствия адресов. Эту же таблицу он распространяет по запросу любому Spoke-маршрутизатору.

ip nhrp registration no-unique – если адрес в филиалах выдаётся динамически, эта команда обязательна.
tunnel source FastEthernet0/0 – привязка к физическому интерфейсу.
tunnel mode gre multipoint – указываем, что тип туннеля mGRE – это позволит создавать динамически туннели не только до хаба, но и до других филиалов.

У нас ситуация простая – без NAT – и мы можем уже сейчас проверить состояние туннелей.

msk-arbat-gw1#sh int tun 0
Tunnel0 is up, line protocol is up
Hardware is Tunnel
Internet address is 172.16.254.1/24
MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 198.51.100.2 (FastEthernet0/1.6), destination UNKNOWN
Tunnel protocol/transport multi-GRE/IP
Key disabled, sequencing disabled
Checksumming of packets disabled

msk-arbat-gw1#ping 172.16.254.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.254.2, timeout is 2 seconds:
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 176/213/284 ms

msk-arbat-gw1#sh ip nhrp brief

msk-arbat-gw1#sh ip nhrp
172.16.254.2/32 via 172.16.254.2, Tunnel0 created 00:09:48, expire 01:50:11
Type: dynamic, Flags: authoritative unique registered
NBMA address: 198.51.101.2

Nsk-obsea-gw1#sh ip nhrp brief
Target Via NBMA Mode Intfc Claimed

OSPF

То есть связность уже обеспечена, но работать филиалы пока не могут – не настроена маршрутизация.

Тут для каждого протокола свои всплывают тонкости.
Давайте рассмотрим процесс настройки OSPF, для примера.

Поскольку мы имеем широковещательную L2 сеть на туннельных интерфейсах, указываем явно тип сети Broadcast на туннельных интерфейсах на всех узлах:

Кроме того в такой сети должен выбираться DR. Логично, чтобы им стал хаб. Всем Spoke-маршрутизаторам запрещаем участие в выборах DR:

Ну и, естественно, определяем анонсируемые сети.

router ospf 1
network 172.16.0.0 0.0.255.255 area 0

Сети анонсируются:

msk-arbat-gw1#sh ip route

Gateway of last resort is 198.51.100.1 to network 0.0.0.0

172.16.0.0/16 is variably subnetted, 7 subnets, 3 masks
C 172.16.2.128/30 is directly connected, FastEthernet0/1.8
C 172.16.255.1/32 is directly connected, Loopback0
C 172.16.254.0/24 is directly connected, Tunnel0
C 172.16.2.32/30 is directly connected, FastEthernet0/1.7
C 172.16.2.16/30 is directly connected, FastEthernet0/1.5
C 172.16.2.0/30 is directly connected, FastEthernet0/1.4
O 172.16.255.128/32 via 172.16.254.2, 00:05:14, Tunnel0
198.51.100.0/28 is subnetted, 1 subnets
C 198.51.100.0 is directly connected, FastEthernet0/1.6
S* 0.0.0.0/0 via 198.51.100.1

Пинг проходит

msk-arbat-gw1#ping 172.16.255.128

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.255.128, timeout is 2 seconds:
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 60/70/80 ms

Вот так выглядят пакеты, передающиеся через сеть Интернет:

* Дамп с nsk-obsea-gw1 fa0/0

Проверяем, как у нас проходит пинг от одного филиала до другого:

nsk-obsea-gw1#ping 172.16.255.132

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.255.132, timeout is 2 seconds:
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 132/231/492 ms

Nsk-obsea-gw1#traceroute 172.16.255.132

Type escape sequence to abort.
Tracing the route to 172.16.255.132

1 172.16.254.3 240 msec * 172 msec

Nsk-obsea-gw1#sh ip nhrp br
Target Via NBMA Mode Intfc Claimed
172.16.254.1/32 172.16.254.1 198.51.100.2 static Tu0

Как видите пакеты не заходят на хаб, а идут напрямую сразу на маршрутизатор другого филиала через Интернет. Но действительность несколько сложнее.

Что происходит в этот момент?
1) Отправляем пинг на адрес Loopback-интерфейса в Томске
2) Согласно таблице маршрутизации, следующий хоп

Last update from 172.16.254.3 on Tunnel0, 00:18:47 ago
Routing Descriptor Blocks:
* 172.16.254.3, from 172.16.255.132, 00:18:47 ago, via Tunnel0

Это адрес из сети, непосредственно подключенной к интерфейсу Tunnel 0

Routing Descriptor Blocks:
* directly connected, via Tunnel0

3) Согласно настройкам интерфейса здесь используется NHRP. Смотрим таблицу соответствия, полученную от хаба

nsk-obsea-gw1#sh ip nhrp brief
Target Via NBMA Mode Intfc Claimed
172.16.254.1/32 172.16.254.1 198.51.100.2 static Tu0

Как видите, адрес 172.16.254.3 nhrp неизвестен .
Поэтому пакет ICMP отправляется на статически настроенный хаб – 198.51.100.2:

msk-arbat-gw1, fa0/1:

А хаб сразу же перенаправляет запрос на нужный адрес:

msk-arbat-gw1, fa0/1:

4) Одновременно с этим маршрутизатор-клиент в Новосибирске отправляет NHRP-запрос, мол кто укрывает адрес 172.16.254.3:

msk-arbat-gw1, fa0/1:

5) Хаб обладает этим знанием:

msk-arbat-gw1#sh ip nhr br
Target Via NBMA Mode Intfc Claimed
172.16.254.2/32 172.16.254.2 198.51.101.2 dynamic Tu0
172.16.254.3/32 172.16.254.3 198.51.102.2 dynamic Tu0

И отправляет эту информацию в NHRP-ответе:

msk-arbat-gw1, fa0/1:

Больше Хаб не встревает в разговор двух споков.

6) ICMP запрос пришёл в Томск:

tmsk-lenina-gw1, fa0/0:

Несмотря на то, что во внешнем заголовке IP адрес источника – это адрес хаба, внутри фигурирует изначальный адрес Новосибирского маршрутизатора:

7)Томск тоже пока не знает ничего об адресе 172.16.254.2, пославшем ICMP-запрос.

Target Via NBMA Mode Intfc Claimed
172.16.254.1/32 172.16.254.1 198.51.100.2 static Tu0

Поэтому ICMP-ответ он отправляет тоже на хаб:
tmsk-lenina-gw1, fa0/0:

8) Следом за ним он интересуется о публичном адресе отправителя:

tmsk-lenina-gw1, fa0/0:

9)Ну и хаб, естественно, отвечает:

tmsk-lenina-gw1, fa0/0:

10) Сейчас на всех узлах актуальная информация NHRP:

msk-arbat-gw1(config-if)#do sh ip nhr br
Target Via NBMA Mode Intfc Claimed
172.16.254.2/32 172.16.254.2 198.51.101.2 dynamic Tu0
172.16.254.3/32 172.16.254.3 198.51.102.2 dynamic Tu0

Target Via NBMA Mode Intfc Claimed
172.16.254.1/32 172.16.254.1 198.51.100.2 static Tu0
172.16.254.3/32 172.16.254.3 198.51.102.2 dynamic Tu0

tmsk-lenina-gw1(config-if)#do sh ip nh br
Target Via NBMA Mode Intfc Claimed
172.16.254.1/32 172.16.254.1 198.51.100.2 static Tu0
172.16.254.2/32 172.16.254.2 198.51.101.2 dynamic Tu0

Как видите, распространение происходит не автоматически, а по запросу, причём инициаторами являются только клиенты, потому что фактически, только они знают, куда обращаться (хаб изначально не знает о клиентах ничего)

11) Следующий ICMP-запрос он уже отправит по-новому:

nsk-obsea-gw1#sh ip route 172.16.255.132
Routing entry for 172.16.255.132/32
Known via «ospf 1», distance 110, metric 11112, type intra area
Last update from 172.16.254.3 on Tunnel0, 00:20:24 ago
Routing Descriptor Blocks:
* 172.16.254.3, from 172.16.255.132, 00:20:24 ago, via Tunnel0
Route metric is 11112, traffic share count is 1

Подсеть 172.16.254.0 подключена к интерфейсу Tunnel 0

nsk-obsea-gw1#sh ip route 172.16.254.3
Routing entry for 172.16.254.0/24
Known via «connected», distance 0, metric 0 (connected, via interface)
Routing Descriptor Blocks:
* directly connected, via Tunnel0
Route metric is 0, traffic share count is 1

12) Мы немного повторяемся, но… Интерфейс Tunnel 0 является mGRE и согласно таблицы NHRP весь трафик, для которого следующим хопом является 172.16.254.3 должен быть инкапсулирован в GRE и внешний IP-заголовок с адресом назначения 198.51.102.2 (В качестве адреса источника будет выбран адрес физического интерфейса – 198.51.101.2):

nsk-obsea-gw1(config-if)#do sh ip nhr br
Target Via NBMA Mode Intfc Claimed
172.16.254.1/32 172.16.254.1 198.51.100.2 static Tu0
172.16.254.3/32 172.16.254.3 198.51.102.2 dynamic Tu0

tmsk-lenina-gw1, fa0/0:

Gateway of last resort is 198.51.101.1 to network 0.0.0.0

Тут важно понимать, что несмотря на то, что общение между филиалами осуществляется в обход центрального узла, хаб однако несёт тут жизненно важную вспомогательную функцию и без него ничего работать не будет: он предоставляет клиентам таблицу NHRP, а также анонсирует все маршруты – филиалы распространяют маршрутную информацию не непосредственно друг другу, а через хаб.

Актуальная на данный момент конфигурация узлов:

msk-arbat-gw1
interface Tunnel0
ip address 172.16.254.1 255.255.255.0
no ip redirects
ip nhrp map multicast dynamic
ip nhrp network-id 1
ip ospf network broadcast
ip ospf priority 10
tunnel source FastEthernet0/1.6
tunnel mode gre multipoint

Nsk-obsea-gw1
interface Tunnel0
ip address 172.16.254.2 255.255.255.0
no ip redirects
ip nhrp map 172.16.254.1 198.51.100.2
ip nhrp map multicast 198.51.100.2
ip nhrp network-id 1
ip nhrp nhs 172.16.254.1
ip ospf network broadcast
ip ospf priority 0
tunnel source FastEthernet0/0
tunnel mode gre multipoint

Tmsk-leneina-gw1
interface Tunnel0
ip address 172.16.254.3 255.255.255.0
no ip redirects
ip nhrp map 172.16.254.1 198.51.100.2
ip nhrp map multicast 198.51.100.2
ip nhrp network-id 1
ip nhrp nhs 172.16.254.1
ip ospf network broadcast
ip ospf priority 0
tunnel source FastEthernet0/0
tunnel mode gre multipoint
end

На данный момент решены следующие проблемы:
1) Связность. Филиалы подключены и доступны.
2) Маршрутизация. Через mGRE туннели успешно запущены IGP.
3) Масштабируемость. При добавлении нового spoke-маршрутизатора настраивается только он сам и нет необходимости лезть в конфигурацию уже существующих узлов.
4) Разгрузили хаб – через него передаётся только служебный трафик.

Осталось уладить вопрос с безопасностью.

IPSec

Решается это как и прежде – шифрованием.
Если для Site-to-Site VPN мы ещё могли использовать pre-shared key, потому что мы жёстко задавали адрес IPSec-пира, то в случае DMVPN нам нужна гибкость, а заранее мы не знаем адреса соседей.
В связи с этим рекомендуется использование сертификатов. На xgu есть хорошая по центру сертификатов на cisco.

Но мы для упрощения возьмём всё же настройку с pre-shared ключом.

crypto isakmp policy 1
authentication pre-share

От рассмотренных выше Tunnel Protection и VTI она будет отличаться использованием шаблонного адреса:

crypto isakmp key DMVPNpass address 0.0.0.0 0.0.0.0

Опасность здесь в том, что установить IPSec-сессию с хабом, зная ключ, может любое устройство

Тут можно спокойно использовать транспортный режим:

crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
mode transport

Crypto ipsec profile DMVPN-P
set transform-set AES128-SHA

Далее созданный профиль применяется на туннельный интерфейс. Настройка на всех узлах одинаковая.

interface Tunnel0
tunnel protection ipsec profile DMVPN-P

Теперь пакеты, передающиеся через Интернет будут зашифрованы:
msk-arbat-gw1, fa0/1:

Только не вздумайте поставить tunnel mode ipsec ipv4 :)

IPSec-туннели и карты шифрования будут создаваться динамически для сеансов передачи данных между филиалами и будут перманентными для каналов Hub-Spoke.

NAT-Traversal

Тут мы не будем вдаваться в принципы работы NAT-T Передам только суть: за счёт дополнительного UDP-заголовка IPSec может строить туннель сквозь NAT. Это позволяет строить VPN даже на тех узлах, где у вас нет публичного адреса.
Нет необходимости этот функционал каким-то особым образом активировать и настраивать – он работает по умолчанию.
Усложним схему добавлением ещё одного маршрутизатора в Брно.

Допустим, это провайдерская железка, осуществляющая натирование. То есть фактически на роутере в филиале у нас будет динамический адрес из приватного диапазона на физическом интерфейсе. GRE в чистом виде не может построить VPN при таких условиях, IPSec может, но сложно настраивать. mGRE в связке с IPSec может легко!

Давайте посмотрим как выглядит таблица NHRP в этом случае:

msk-arbat-gw1#show ip nhrp brief
Target Via NBMA Mode Intfc Claimed
172.16.254.4/32 172.16.254.4 10.0.0.2 dynamic Tu0

То есть изучил он всё-таки приватный адрес, выделенный провайдером.
Надо заметить, что в таблице маршрутизации должен быть маршрут до этого приватного адреса, выданного провайдером в филиале, пусть даже дефолтный.

На туннельном интерфейсе у нас активирован IPSec, следовательно должны быть карты шифрования:

msk-arbat-gw1#show crypto map
Crypto Map «Tunnel0-head-0» 65537 ipsec-isakmp
Map is a PROFILE INSTANCE.
Peer = 198.51.103.2
Extended IP access list
access-list permit gre host 198.51.100.2 host 10.0.0.2
Current peer: 198.51.103.2
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
AES128-SHA,
}
Interfaces using crypto map Tunnel0-head-0:
Tunnel0

Таким образом шифрованный туннель строится между 198.51.100.2 и 198.51.103.2, дальше, данные по-прежнему шифрованные за счёт NAT-T в туннеле идут до 10.0.0.2. А дальше вы уже знаете.

Толковая подробная статья по NHRP .

Сценарий:
Сеть DMVPN была полностью работоспособной, всё работало корректно.
Но после перезагрузки хаба msk-arbat-gw1 началось странное поведение.

Задание:
1. Проверить работоспособность сети.
2. Перезагрузить хаб
3. После перезагрузки проверить работоспособность сети ещё раз
4. Устранить проблему:
4.1. (минимум) Сделать сеть снова работоспособной
4.2. Сделать так, чтобы сеть восстанавливалась автоматически, после того как хаб снова появится.

Для всевозможных туннелей это совершенно типичная проблема.

Почему же работают пинг и яндекс?
Пакеты ICMP Request и Relpy имеют размер от 32 до 64 байтов, ya.ru возвращает очень мало информации, которая вполне укладывается в допустимый размер 1500 вместе со всеми заголовками. Добавить метки

Вам могут быть интересны следующие материалы

Счетчики газа

Система отопления

Водоснабжение

Система вентиляции

Радиаторы

Водопровод

© 2024 Про уют в доме. Счетчики газа. Система отопления. Водоснабжение. Система вентиляции