Apa itu akses VPN. Apa itu VPN? cara mengatur - Jaringan Pribadi Virtual, bekerja dengan VPN. Cara mengatur VPN di Android

Kami merilis buku baru“Pemasaran Konten di Media Sosial: Cara Menarik Pikiran Pengikut Anda dan Membuat Mereka Jatuh Cinta dengan Merek Anda.”

VPN adalah teknologi koneksi jaringan di mana subnet virtual dapat diatur pada jaringan yang ada.

Untuk memahami apa itu VPN, mari kita lihat sebuah contoh. Misalnya, Anda perlu mengirim parsel ke kota lain dan melakukannya secara anonim. Di pos biasa, Anda akan diminta untuk memberikan dokumen identifikasi, yang berarti Anda tidak akan dapat mengirim paket secara anonim. Dan tidak ada jaminan mutlak bahwa isi parsel akan tetap dirahasiakan dan tidak akan dibuka. Namun Anda dapat menggunakan jasa perusahaan khusus yang akan mentransfer parsel tanpa menanyakan siapa pengirimnya, dan mereka juga menjamin kerahasiaan lengkap isi, integritas dan keamanannya. VPN menjalankan fungsi perusahaan serupa.

Mengapa Anda memerlukan VPN?

VPN memungkinkan Anda mentransfer data dengan andal tanpa distorsi.

Anda perlu menggunakan jenis koneksi ini untuk:

Bekerja dengan aplikasi dan unduh ketika alamat IP milik zona lain.
Nyaman dan koneksi mudah ke jaringan global.
Membuat saluran aman yang terlindungi dari serangan hacker.
Peluang untuk pekerjaan anonim.
Kecepatan koneksi tinggi tanpa gangguan.
Memastikan tingkat keamanan saat bekerja di jaringan perusahaan.

Cara kerja koneksi VPN

Jika Anda terhubung melalui VPN, informasi tentang rute jarak jauh dan IP server yang digunakan dikirimkan dalam pesan. Informasi yang melewati jaringan ini berada dalam keadaan terenkapsulasi; datanya dienkripsi, sehingga tidak dapat disadap. Tahap enkripsi melalui VPN dilakukan pada saat pengiriman, dan dekripsi sudah dilakukan menggunakan header pesan di sisi penerima (kunci enkripsi harus dibagikan). Jika dekripsi dilakukan dengan benar, tipe yang diinginkan koneksi.

Jika kita berbicara tentang tingkat keamanan, saat ini Internet tidak bisa membanggakannya tingkat tinggi perlindungan. Namun jika Anda menggunakan VPN bersama dengan protokolnya, Anda dapat mencapai keamanan dan keamanan informasi.

Cara menggunakan

Koneksi perlu dikonfigurasi. Mari kita lihat langkah-langkah menggunakan contoh OS yang paling umum - Windows: buka panel kontrol dan pilih bagian "Jaringan dan Internet". Berikutnya: “Jaringan dan Pusat Berbagi” - “Siapkan koneksi baru” - “Hubungkan ke tempat kerja.” Klik di samping “Tidak, buat koneksi” dan klik “Gunakan koneksi saya.”

Saat masuk melalui Internet, masukkan IP router atau pusat Internet (disediakan oleh penyedia selama pengaturan awal), dan saat masuk melalui VPN, masukkan IP lokal.

Kemudian kami mengatur parameter akun (diberikan saat mendaftarkan pusat Internet/router Wi-Fi, terletak di bagian belakang perangkat), yang diperlukan untuk terhubung ke server PPTP, ini adalah nama pengguna, kata sandi, dan domain (domain adalah tidak diperlukan). Kami telah membuat VPN dan sekarang untuk login selanjutnya kami dapat mengoptimalkan seluruh proses untuk mengurangi waktu koneksi:

Buka "Jaringan dan Pusat Berbagi".
Klik “Ubah pengaturan adaptor.”
Kami mencari koneksi yang kami buat dan melihat karakteristiknya (keamanan, properti, dan jenis VPN).
Instal “Protokol Terowongan Titik-ke-Titik (PPTP)”.

Jika Anda tidak melakukan ini, setiap kali Anda mengakses jaringan global, Windows akan memilahnya secara bergantian pilihan yang tersedia sampai menemukan protokol PPTP.

Ini menyelesaikan penyiapan, silakan sambungkan.

Cara menghubungkan VPN menggunakan browser

Pengaturan koneksi berbeda untuk setiap browser. Mari kita lihat masing-masing:

Opera. Browser ini memiliki VPN bawaan tanpa batas, yang dapat Anda gunakan secara gratis. Untuk mengaktifkannya, Anda perlu membuka “Menu”, lalu pergi ke “Pengaturan”, pilih “Keamanan” dan “Aktifkan VPN”.
krom. Anda tidak dapat melakukan ini tanpa bantuan ekstensi khusus. Buka “Menu”, lalu “Alat tambahan”, lalu “Ekstensi” dan “Ekstensi lainnya”. Masukkan “VPN”, lihat hasilnya dan klik salah satunya. Di tab yang terbuka, klik "Instal". Setelah ini, ekstensi akan dipasang secara otomatis dan ikonnya akan ditampilkan di panel Menu. Saat Anda perlu menggunakan VPN, klik ikonnya dan aktifkan ekstensinya. Ekstensi terbaik: Hotspot Shield, Touch VPN. Semuanya gratis.
Peramban Yandex. Instal add-on - layanan VPN. Buka “Menu”, lalu “Add-ons”, lalu pilih “Extension Directory”. Dalam pencarian, masukkan “VPN” dan pilih salah satu opsi yang diusulkan. Selanjutnya, mekanisme kerjanya sama: instal ekstensi, ikonnya muncul di baris “Menu”. Sebelum setiap penggunaan koneksi VPN, aktifkan ekstensi. Ekstensi berikut telah membuktikan dirinya dengan baik: “TunnelBear”, “Hola Better Internet”, “Zen Mate”.
Mozilla. Sesuai dengan skema di atas, kami memasang ekstensi. Pengaya terbaik: "Proxy VPN Gratis Hotspot Shield", "Proxy VPN Hoxx", "Keamanan Zenmate".

Sebelumnya, pemahaman negara terhadap Internet agak pas-pasan, sehingga tidak mengganggu pengguna secara hukum. Saat ini, saat berjalan-jalan di World Wide Web, Anda semakin sering menemukan ungkapan: “Situs ini termasuk dalam daftar situs terlarang” atau “ISP Anda telah memblokir akses.”

Jadi, jika Anda ingin mendapatkan kembali kebebasan bertindak sepenuhnya di Internet dan memperoleh tingkat perlindungan lain, Anda pasti perlu membiasakan diri dengan teknologi jaringan pribadi virtual - VPN.

VPN: istilah dan prinsip operasi

Virtual Private Network (VPN) adalah nama teknologi yang memungkinkan pembuatan dan overlay satu atau lebih jaringan di atas jaringan pengguna lainnya.

Sekarang, bagaimana sebenarnya cara kerja VPN? Komputer Anda memiliki alamat IP tertentu yang memblokir akses ke situs tertentu. Anda mengaktifkan teknologi VPN melalui beberapa program atau ekstensi. VPN mengubah alamat Anda ke alamat server di negara lain (misalnya, Belanda atau Jerman).

Selanjutnya, koneksi keamanan dibuat, yang tidak dapat diblokir oleh penyedia. Hasilnya, Anda mendapatkan protokol aman yang melaluinya Anda dapat dengan bebas mengunjungi situs Internet mana pun, dan sepenuhnya anonim.

Struktur dan jenis teknologi

Seluruh teknologi bekerja dalam dua lapisan. Yang pertama adalah jaringan internal, yang kedua adalah jaringan eksternal. Saat Anda terhubung ke teknologi tersebut, sistem mengidentifikasi jaringan Anda dan kemudian mengirimkan permintaan otentikasi. Teknologi ini sangat mirip dengan otorisasi pada beberapa orang jaringan sosial, hanya di sini semuanya dilakukan melalui protokol aman dan tanpa partisipasi penyedia.

Jaringan virtual sendiri juga terbagi dalam beberapa kategori. Rumah klasifikasi sedang berlangsung menurut tingkat perlindungannya, yaitu pengguna dapat menggunakan VPN berbayar dan gratis.

Perbedaan di antara keduanya adalah koneksi aman. Misalnya, sistem berlangganan akan memberi Anda protokol aman seperti PPTP, IPSec, dan lainnya. Meskipun VPN gratis sering kali hanya menyediakan saluran “tepercaya”. Artinya, jaringan Anda sendiri harus sangat terlindungi, dan VPN hanya akan meningkatkan tingkat perlindungan.

Sejujurnya, kelemahan terbesar layanan VPN gratis bukanlah keamanannya, melainkan stabilitas dan kecepatan koneksi. Melalui VPN gratis, kemungkinan besar Internet akan bekerja sangat lambat, dan tidak selalu stabil.

Berlangganan VPN berbayar tidak melebihi $10 per bulan, namun tidak setiap pengguna membutuhkannya. Untuk tugas biasa, tidak ada gunanya membeli akun Premium karena kemampuan standar sudah cukup.

Alasan menggunakan VPN

Setiap pengguna perlu menggunakan teknologi VPN, dan inilah alasannya:

Perlindungan data. Sangat cocok bagi pengguna yang suka terhubung ke koneksi Wi-Fi “gratis” milik tetangga, dan kemudian menemukan bahwa data kartu mereka telah dicuri. Situasi seperti itu termasuk pertemuan di kafe dan umumnya di tempat mana pun yang memiliki Wi-Fi gratis.
Anonimitas lengkap. Saat Anda membuka tab baru dengan situs web, tindakan ini akan ditampilkan di server penyedia, sehingga perjalanan Anda di Internet dapat dilacak oleh karyawan mana pun di perusahaan tersebut. Dengan mengaktifkan VPN, Anda akan menyembunyikan riwayat penelusuran Anda karena Anda menggunakan alamat IP yang berbeda.
Kemampuan berselancar di Internet tanpa hambatan. Taruhan, kasino online, torrent, forum, situs untuk orang dewasa - semua Internet "bawah tanah" kembali tersedia untuk Anda, semuanya seperti dulu.
Penggunaan sumber daya asing. Tentu saja, kecil kemungkinannya Anda akan menggunakan layanan berbahasa Inggris seperti hulu.com, namun tetap saja, Anda diberikan akses penuh ke semua situs populer di seluruh dunia.

Bagaimana cara menggunakan VPN di komputer?

Mari kita pertimbangkan situasi ketika kita menggunakan browser biasa dan ingin mengunjungi situs yang diblokir. Dalam situasi ini, Anda dapat melakukan dua cara:

instal klien VPN (program) di PC Anda;
tambahkan ekstensi browser melalui Toko Web.

Pilihan pertama atau kedua - keduanya mudah diterapkan, tetapi untuk gambaran lengkapnya, mari kita pertimbangkan keduanya.

Anda juga bisa menggunakan yang gratis.

Untuk menginstal klien VPN, Anda perlu mengunduh program di Internet, misalnya, “Betternet”. Jalankan file instalasi dan instal klien. Kami meluncurkannya, klik: "Hubungkan" dan selesai. Masalahnya adalah program ini secara otomatis memberi kita alamat IP acak, dan kita tidak dapat memilih negara, tetapi dengan menekan satu tombol saja kita sudah menggunakan VPN. Dan kelemahan lainnya adalah kebutuhan untuk terus meluncurkan program, namun beberapa klien memiliki kemampuan untuk meluncurkannya secara bersamaan dengan OS.

Cara kedua adalah dengan menambahkan ekstensi. Kelemahannya di sini adalah, paling sering, pendaftaran diperlukan untuk menggunakannya, ditambah ekstensinya cenderung mogok. Tetapi ekstensi ini jauh lebih mudah digunakan - klik ikon di browser, pilih negara dan untung. Saat ini, ada ribuan program serupa, Anda dapat memilih salah satunya, misalnya “Hotspot Shield”. Tambahkan ekstensi ke browser Anda, daftar dan tidak akan ada lagi masalah teknis.

Misalnya, beginilah cara kerja ekstensi ZenMate VPN di browser:

Kami menulis tentang ekstensi VPN untuk berbagai browser di artikel: .

Bagaimana cara menggunakan VPN di perangkat seluler?

Kami akan melihat perangkat yang memiliki sistem operasi populer, misalnya iOS atau Android.

Cara menggunakan VPN di smartphone atau tablet juga cukup sederhana yaitu melalui aplikasi seluler. Masalahnya adalah beberapa program memerlukan hak root, dan ini merupakan kerumitan tambahan, ditambah kemungkinan mengubah ponsel menjadi "bata". Jadi carilah program yang tidak mengharuskan Anda memiliki hak root. Di Android, misalnya, ini adalah OpenVPN, dan di iOS adalah Cloak. Anda juga dapat menggunakan yang gratis dan terbukti di iPhone dan iPad. Kadang-kadang saya menggunakannya sendiri, hasilnya bagus.

Teknologi pengunduhan sangat sederhana: unduh aplikasi dari Play Market atau AppStore dan instal di perangkat Anda. Selanjutnya kita aktifkan VPN, pilih profil (dari mana kita akan mendapatkan alamat IP), lalu buat koneksi dan itu saja. Sekarang Anda menjelajahi Internet melalui VPN, yang akan diberitahukan oleh aplikasi yang Anda gunakan.

Sekarang Anda memahami bagaimana teknologi koneksi VPN diterapkan, dan sekarang pengalaman online Anda akan menjadi lebih aman, anonim, dan yang paling penting - dapat diakses dan tidak terbatas.

Halo teman teman! Banyak orang menggunakan Internet dengan prinsip “Saya tidak menyembunyikan apa pun”, namun ini sama saja dengan mengatakan “Saya tidak peduli dengan hak-hak saya.” Artikel ini ditujukan bagi mereka yang peduli dengan hak-hak mereka, serta bagi mereka yang memikirkan keamanan Internet. aku akan memberitahumu dengan kata-kata sederhana tentang apa itu VPN, mengapa dibutuhkan, dan bagaimana cara menggunakannya.

Apa itu VPN

VPN adalah singkatan dari Jaringan Pribadi Virtual. Diterjemahkan ke dalam bahasa Rusia – jaringan pribadi virtual. VPN adalah teknologi yang menyediakan koneksi terenkripsi melalui koneksi Internet Anda.

Berkat VPN, Anda akan terlindungi dari intersepsi login/kata sandi di titik WI-FI publik yang tidak aman, riwayat kunjungan situs Anda tidak akan tersedia bagi siapa pun, dan Anda akan lupa memblokir situs seperti mimpi buruk. Ini berlaku untuk torrent dan situs lain yang dianggap terlarang.

Tangan-tangan “pemblokir” juga telah menjangkau industri proyek. Baru-baru ini, pertukaran bitcoin populer, forum investasi besar, dan entah berapa banyak situs web yang diblokir. Akses ke situs web sistem pembayaran apa pun, misalnya, juga dapat diblokir. Untungnya, pengguna VPN tidak terpengaruh oleh pemblokiran konyol :)

Apa yang dilakukan VPN?

1. VPN menggantikan IP asli Anda dengan yang palsu, misalnya Italia atau Belanda. Jika Anda menggunakan VPN, Anda praktis tidak terlihat di jaringan. Anda mengunjungi situs tersebut, tetapi mereka melihat bahwa Anda, misalnya, bukan dari Rusia, tetapi dari Jerman. Karena itu, Anda tidak takut dengan pemblokiran situs apa pun.

2. Mengenkripsi koneksi - baik ISP Anda maupun administrator sistem di tempat kerja tidak akan mengetahui ke mana Anda pergi.
- Apa yang dilihat oleh administrator/penyedia sistem saat Anda tidak menggunakan VPN? Seluruh riwayat penjelajahan Anda, tanpa kecuali, semua situs yang Anda kunjungi.
- Apa yang dilihatnya saat Anda bekerja melalui VPN? Bahwa Anda terhubung melalui VPN dan... hanya itu, dia tidak tahu apa-apa lagi :)
Selain itu, saat mencegat data, penyerang tidak akan dapat mengenalinya karena enkripsi.

3. Dikombinasikan dengan spoofing IP dan enkripsi lalu lintas, Anda menjadi anonim sepenuhnya.

Mengapa Anda memerlukan VPN?

Jika Anda suka mengunjungi kafe dan menjelajahi Internet di sana melalui Wi-Fi atau sering bepergian dan terhubung ke titik Wi-Fi terbuka, tidak ada peretas sombong yang duduk di meja sebelah yang akan mencegat data kartu plastik Anda dengan kode CVV atau mencuri kata sandi dari kartu pembayaran Anda. Dan tidak masalah apakah Anda bekerja dari laptop atau dari perangkat seluler - tanpa VPN, keduanya tidak terlindungi secara setara.
Anda menghargai anonimitas dan Anda tidak menyukai kenyataan bahwa administrator sistem penyedia mana pun memiliki akses ke situs yang Anda kunjungi atau dari EPS mana Anda menyetor/menarik dalam jumlah besar. ISP tidak lagi mengetahui situs mana yang Anda kunjungi, dan situs tersebut tidak lagi mengetahui siapa yang mengunjunginya.
Di tempat kerja, Anda suka menggunakan YouTube/VKontakte/messenger, tetapi Anda tidak ingin atasan atau administrator sistem Anda mengetahuinya. Saya tahu Anda adalah investor sukses dan sudah lama tidak bekerja, ini hanya saya, untuk berjaga-jaga :)
Apakah Anda ingin melihat Internet sebagaimana mestinya - kunjungi situs tanpa batasan layanan yang hanya memblokir situs secara berkelompok. Pada saat artikel ini ditulis, lebih dari 2 juta situs diblokir (statistik disimpan). Hal ini juga tidak jarang terjadi ketika mereka menuntut pemblokiran halaman atau bagian tertentu, dan penyedia, tanpa pemahaman, memblokir seluruh situs.
Apakah layanan favorit Anda membatasi akses dari negara Anda atau memberikan hak istimewa/bonus/diskon ke negara tertentu? Dengan bantuan VPN, jadilah penduduk negara mana pun dan dapatkan semua manfaat layanannya.

Cara menggunakan VPN (menggunakan NordVPN sebagai contoh)

Saya sendiri menjelajahi Internet hanya melalui VPN dan dapat merekomendasikan layanan unggulan bernama NordVPN. Saya akan segera mengatakan bahwa layanan ini berbayar, biayanya $12 per bulan, ketika membayar selama setengah tahun biaya per bulan adalah $9, ketika membayar untuk satu tahun – $7.

Ya, Internet penuh dengan layanan VPN gratis, namun memelihara server membutuhkan biaya, jadi jika layanan tersebut tidak membebankan biaya kepada Anda, maka layanan tersebut menghasilkan uang dari Anda dengan cara lain, dan “sebaliknya” ini bisa memakan biaya lebih banyak daripada membayar untuk layanan VPN yang andal. VPN. Keamanan bukanlah masalah yang bisa diabaikan.

Ulasan NordVPN, fitur-fiturnya

Hampir tidak berpengaruh pada kecepatan koneksi, diverifikasi secara pribadi :)
Mendukung Windows, MacOS X, Linux, Android, iOS;
Kemampuan untuk menggunakan satu akun di 6 perangkat secara bersamaan;
Ada lebih dari 50 negara dan lebih dari 500 server yang dapat dipilih;
Hubungkan ke NordVPN dalam satu klik;
Jika koneksi VPN Anda terputus, program yang Anda tentukan di pengaturan akan ditutup secara otomatis. Anda tidak perlu khawatir tentang kebocoran data;
Perlindungan terhadap pengenalan melalui DNS dan WebRTC (inilah yang melaluinya IP asli Anda terlihat bahkan ketika VPN dihidupkan);
Dukungan DoubleVPN (rantai dua server VPN);
Tidak ada batasan: torrent, panggilan, video HD, permainan daring– semuanya berjalan tanpa masalah;
Bitcoin dan dukungan pembayaran kartu plastik. Namun kami menyukai anonimitas, jadi jika Anda belum mendapatkan dompet Bitcoin, ikuti petunjuknya;
Permintaan apa pun diabaikan karena layanan ini berada di bawah yurisdiksi Panama dan tidak tunduk pada hukum negara lain.

Buat akun dengan NordVPN

1) Ikuti tautannya, klik “Dapatkan VPN” dan pilih tarif.
2) Kita diarahkan ke formulir pendaftaran akun. Pilih tarif, isi email dan password, pilih pilihan yang nyaman pembayaran dan klik “Daftar”.
3) Konfirmasikan pembayaran dan masuk ke akun pribadi Anda menggunakan login dan kata sandi Anda.

Unduh klien dan aktifkan VPN (menggunakan Windows sebagai contoh)

1)B akun pribadi Di situs web, buka tab “Area Unduhan”, temukan sistem operasi Anda dan unduh klien. Jika Anda memiliki Windows, pilih baris di sebelahnya yang bertuliskan "disarankan". Jika Anda memerlukan VPN aktif perangkat seluler, cari NordVPN di toko aplikasi Anda dan unduh.

2) Instal program dan jalankan. Tangkapan layar di bawah menunjukkan tampilan programnya (klik untuk memperbesar layar). di “ Server” Anda dapat memilih negara mana saja untuk dihubungkan.

Menyiapkan NordVPN

Jika Anda ingin perlindungan maksimal dan menyesuaikan semuanya, klik “Pengaturan”:

Apa yang menjadi tanggung jawab setiap poin:

Pembaruan otomatis – memperbarui program secara otomatis ketika versi baru dirilis;
Sambungkan otomatis ke – saat diluncurkan, NordVPN akan secara otomatis terhubung ke server yang dipilih;
Mulai NordVPN saat startup – memulai VPN saat sistem dimulai;
Tombol pemutus – memilih program yang akan ditutup secara otomatis jika koneksi ke VPN terputus. Untuk memilih program, klik “Tambahkan aplikasi lainnya” dan temukan di komputer Anda program yang diinginkan, misalnya browser dan messenger;
Notifikasi – menerima notifikasi ketika terjadi koneksi atau pemutusan koneksi dari NordVPN;
Tampilkan ikon baki – menampilkan ikon program di baki sistem;
Mulai diminimalkan – mulai diminimalkan;
Sistem pengukuran – pilih untuk menampilkan jarak ke server dalam sistem metrik (km) atau imperial (mil).

VPN tidak lebih dari teknologi Jaringan Pribadi Virtual. Dan jika diterjemahkan secara kasar ke dalam bahasa Rusia, maka akan menjadi seperti ini: jaringan pribadi virtual.

Semua teknologi ini hanya dirancang untuk menyatukan komputer-komputer tertentu (interkoneksinya) dalam lingkungan jaringan yang aman: misalnya, untuk memberi pemilik komputer-komputer ini saluran terenkripsi dan akses anonim ke sumber daya jaringan pihak ketiga.

Katakanlah, ini seperti jaringan di dalam jaringan, tetapi penggunaan teknologi VPN menyediakan koneksi yang lebih aman untuk semua komputer yang terhubung. Dengan demikian, mesin komputer dapat berlokasi di berbagai belahan dunia (jarak tidak penting) dan penggunanya dapat dengan mudah dan aman bertukar dokumen “rahasia”:

Tapi mari kita mulai secara berurutan:

cara kerja VPN

Teks demi poin:

Jaringan Pribadi Virtual - jaringan pribadi virtual - prinsip umum teknologi yang memudahkan penyediaan satu atau lebih koneksi jaringan (jaringan logis lokal tertentu) dalam jaringan utama - misalnya, Internet.

Jaringan pribadi virtual beroperasi melalui apa yang disebut terowongan, yang dipasang antara “satu atau dua” komputer dan server jarak jauh.

Semua data yang dikirimkan melalui terowongan ini (atau hampir semuanya) akan dienkripsi - yaitu dienkripsi.

Sebagai contoh mendasar: bayangkan sebuah danau tertentu (bagi kami itu akan seperti Internet) yang di atasnya terdapat semua jenis perahu layar, yacht, perahu... netizen. Anda dapat dengan mudah menonton semua selancar ini!..

Namun, rute (terowongan) VPN dalam pertunjukan ini akan bertindak seperti kapal selam yang melakukan perjalanan di bawah air melalui saluran (terowongan) terenkripsi tertutup tertentu, dan, seperti yang Anda pahami, semua informasi yang ditempatkan di dalam kapal selam kami ini akan menjadi informasi kami. , tetapi tersembunyi dari pengintaian, dan ditransmisikan dengan kekotoran semaksimal mungkin antar titik (ini adalah contoh - permainan kata-kata keluar).

Kira-kira hal yang sama ditunjukkan pada foto di bawah ini:

gambar dari situs orang lain (alamatnya hilang, tapi saya sangat menyukainya)

Mengapa rata-rata pengguna bisa menggunakan VPN?

Situs tertentu diblokir (tidak ada akses) tetapi Anda benar-benar perlu mengunjunginya.. uraian cara lain untuk mengatasi masalah mengunjungi situs yang diblokir.
Jika kita sering menggunakan perbankan online, dan kita perlu mengamankan transaksi kita.
...atau beberapa sumber (situs) "disiarkan" hanya untuk negara-negara Eropa, dan sekali lagi Anda tidak peduli... Anda perlu membaca "itu", atau menonton film...
Anda tidak ingin situs yang Anda kunjungi melacak (dan mungkin mencuri) data Anda!
Atau, misalnya, Anda tidak memiliki perangkat router, namun Anda dapat menghubungkan beberapa komputer ke dalamnya jaringan lokal, sehingga menyediakan akses ke Internet ke kedua komputer.

Nah, untuk menikmati semua keunggulan VPN ini, yang Anda perlukan hanyalah: jaringan itu sendiri, komputer (tablet), dan server jarak jauh.

Prinsip cara kerja VPN dan enkripsi adalah sebagai berikut

Lingkungan jaringan virtual dibuat antara komputer pengguna dan server dengan perangkat lunak VPN diinstal. Nah, misalnya Openvpn.

Dalam program layanan, kunci (kata sandi) dibuat - dihasilkan - yang berfungsi untuk enkripsi (pada output) dan dekripsi (pada input) ke klien (Anda dan saya)

Dan dengan koneksi aman seperti itu, komputer membuat permintaan - yang dienkripsi menggunakan kunci yang dibuat sebelumnya.

Yah, hampir tidak ada gunanya mengatakan bahwa semua "enkripsi" ini ditransmisikan melalui terowongan ke server yang menghubungkan komputer.

Setelah data berhasil sampai melalui terowongan ke server, permintaan didekripsi dan eksekusi permintaan “diaktifkan”: mengirim file (dokumen), mulai mendengarkan lagu, dll...))

Server menyiapkan respons terhadap permintaan dan mengirimkannya ke klien: server mengenkripsi semua ini dan dipesan dari Anda, dan "sangat rahasia".

Namun, agar Anda dapat menerima file dengan bersih dan mudah dibaca, komputer Anda mendekripsi data dengan kunci yang dibuat (dihasilkan) sebelumnya.

Yang lucu:

perangkat yang termasuk dalam virtual jaringan pribadi, dapat ditempatkan pada jarak berapa pun satu sama lain (yaitu tidak terikat pada batasan geografis)

bagaimana dan di mana Anda dapat menggunakan teknologi VPN

Penemu keajaiban ini menyarankan penggunaan VPN untuk mentransfer data apa pun (ini ideal) agar tidak sampai ke tangan pihak ketiga atau keempat: ya, Anda tahu - segala macam kata sandi, login... nomor kartu, korespondensi cinta, dll...

Teknologi ini sangat menghemat saat Anda dan saya menggunakannya poin terbuka Akses Wi-Fi di mana saja di kafe, taman rekreasi, dan pelabuhan luar angkasa...

Teknologi ini juga akan berguna bagi kawan-kawan yang ingin bebas mengakses situs/platform apa pun, layanan pelacak, termasuk yang diblokir oleh penyedia tertentu, atau sumber daya yang membatasi lingkaran penggunanya.

beberapa perbedaan antara VPN dan TOR, proxy dan anonimizer

VPN bekerja secara global dan mengalihkan seluruh sistem melalui terowongan sistem. perangkat lunak diinstal pada komputer tertentu.

Permintaan apa pun - melalui browser, obrolan, klien penyimpanan cloud, misalnya, dropbox - mengalir melalui terowongan dan dienkripsi sebelum mencapai penerima. “Mesin” perantara, seperti Susanin, mengacaukan jejak “data Anda”, mengenkripsi dan mendekripsi hanya sebelum mengirimkannya ke penerima akhir: yaitu, Anda dan saya. Apa!

Dan pada akhirnya, ada makna yang luar biasa - penerima akhir permintaan, misalnya, situs di mana kami tidak ingin meninggalkan jejak kami)) tidak mencatat data pengguna (milik kami), bukan lokasi geografis kami, dll. ., dll.... TAPI!! Data server VPN.

yaitu secara teoritis sulit untuk melacak situs mana yang diminati (dan dikunjungi) oleh pengguna dan untuk apa dia bekerja di sana (kepentingan kami dirahasiakan)).

Sampai batas tertentu, anonimizer, proxy, dan TOR dapat dianggap sebagai analog dari VPN, namun, semua barang yang terdaftar ini dalam beberapa hal lebih rendah daripada jaringan pribadi virtual - VPN.

Oleh karena itu, mari kita lihat apa itu:

Apa perbedaan antara VPN dan TOR?

Sama seperti VPN, teknologi TOR memastikan bahwa permintaan dienkripsi dan dikirimkan dari pengguna ke server. Dan karenanya, sebaliknya. Ada satu hal yang menarik: sistem TOR tidak membuat terowongan permanen!! jalur untuk mengirim/menerima data pengguna berubah dengan setiap permintaan (request), dan ini, seperti yang Anda pahami, mengurangi kemungkinan mencegat paket data yang berharga. Namun, harus dikatakan: pemrosesan/pembuatan “sandi” yang konstan memiliki efek yang kuat pada kecepatan pengiriman paket data itu sendiri.

Pilihan ada di tangan kita.

TOR - didukung oleh para peminat. Sepenuhnya gratis! dan dalam kasus “gratis” Anda tidak dapat mengharapkan pekerjaan yang stabil.

Apa perbedaan antara VPN dan proksi?

Bukan enkripsi, hanya...

Proxy, seperti VPN, mengalihkan permintaan dari situs ke situs (komputer pengguna) dan juga meneruskan permintaan ini melalui beberapa server perantara (terletak di suatu tempat yang jauh).

Namun, masalah tersembunyi membuat Anda berpikir!! — mencegat permintaan yang diatur melalui proxy tidaklah sulit; informasi dipertukarkan tanpa enkripsi apa pun, atau bahkan sederhana.

Alex tidak akan datang ke Eustace))

Apa perbedaan antara VPN dan anonimizer?

Cukuplah untuk mengatakan bahwa anonimizer adalah versi proxy yang dikebiri (dipreteli), yang mampu bekerja kurang lebih baik hanya di jendela tab browser yang terbuka (dibatasi oleh browser).

Melalui anonimizer, Anda mungkin dapat mengakses halaman yang diinginkan, tetapi Anda tidak akan pernah dapat menggunakan sebagian besar fitur (fitur serupa dijelaskan di atas).

Apakah perlu ditambahkan bahwa tidak ada yang perlu dibicarakan tentang enkripsi apa pun...

Dalam hal kecepatan pertukaran data, proxy tentu saja akan menang, karena enkripsi saluran tidak digunakan.

VPN sejauh ini telah memantapkan dirinya di posisi kedua, karena mampu memberikan tidak hanya anonimitas, namun juga perlindungan terhadap “saluran/terowongan terenkripsi”.

Tempat ketiga diambil oleh anonimizer, meskipun sebatas bekerja jendela terbuka peramban (peramban).

TOR cocok ketika tidak ada waktu, keinginan atau kesempatan untuk terhubung ke VPN. Seperti yang Anda pahami di atas, Anda tidak boleh mengandalkan pemrosesan permintaan kami yang cepat.

Tentu saja, ini adalah perhitungan kasar mengenai daya tarik dan kecepatan, namun - pada dasarnya mendekati!! karena banyak tergantung pada beban server Dunia yang digunakan. Atau dari undang-undang yang disahkan satu negara atau negara lain di dunia ini.

...apa yang perlu Anda ketahui saat memilih

Sebuah artikel yang sedang tren saat ini adalah tentang hal ini - karena meskipun mereka tertinggal dari Telegram, mereka pasti akan tetap menggunakan platform lain!! Jadi, merupakan ide bagus untuk memiliki sedikit pengetahuan! dan ilmunya ada di artikel di link...

(menggunakan contoh NordVPN)…

...dan akhirnya mari kita lihat

cara terhubung ke internet melalui VPN

Segmen ru menawarkan banyak sekali metode dan layanan untuk menyediakan akses ke VPN. Dan masih banyak lagi variasi untuk terhubung ke VPN di dunia!

Layanan berbayar! — kita tidak akan memasukkan yang gratis.

Dari beberapa dolar hingga beberapa puluh/ratusan dolar per bulan/tahun.

Jika ada yang kurang jelas dan masih ada pertanyaan, share di kolom komentar...

Jika kita mencoba menggambar analogi dengan dunia nyata, mari kita bayangkan sebuah situasi di mana Anda berkendara dari sebuah desa, terbungkus dalam sebuah mobil. Anda mencapai sungai, dan Anda harus menyeberang ke tepi lain dan melanjutkan perjalanan Anda ke kota di sana.
Di pelabuhan sungai, mobil Anda dikemas dalam kapal feri dan diangkut melintasi gelombang badai ke sisi lain, di mana mobil Anda diambil dan Anda melanjutkan perjalanan. Jadi feri ini adalah feri GRE.

Mari kita membuat tiga komentar:
Pertama, kami memilih antarmuka dan alamat Loopback dengan topeng /32 hanya untuk pengujian; pada kenyataannya, ini bisa dengan mudah menjadi antarmuka fa1/0.15 dan fa0/1.16 dengan subnet 172.16.15.0/24 dan 172.16.16.0/24, misalnya, atau lainnya.
Kedua, kita semua berbicara tentang jaringan dan alamat publik, tetapi kenyataannya, tentu saja, ini tidak menjadi masalah dan terowongan dapat dibangun bahkan di dalam jaringan Anda sendiri. jaringan perusahaan, ketika jaringan akhir sudah memiliki konektivitas IP tanpa terowongan.
Ketiga, meskipun secara teoritis lalu lintas dapat kembali tidak melalui terowongan, perlu dibuat terowongan agar node akhir berhasil mendekapsulasi paket GRE.

GRE Reguler – contoh cemerlang tunneling, yang sangat mudah diatur dan relatif mudah untuk memecahkan masalah.
Tentunya Anda sudah bisa menebak apa tiga masalah besar yang menanti kita di bidang ini?

Keamanan. Data yang dikemas dalam GRE tetap dikirimkan dalam teks yang jelas.
Penskalaan kesulitan. Jika Anda memiliki 5-7 cabang, melayani terowongan sebanyak itu tampaknya masih memungkinkan, tetapi bagaimana jika ada 50 cabang? Selain itu, traffic tunneling sering dilakukan pada CPU, terutama pada jalur low dan mid-range, sehingga ini merupakan beban tambahan pada prosesor.
Semua cabang akan berinteraksi satu sama lain melalui node pusat, meskipun bisa juga secara langsung.

IPSec

Enkripsi dirancang untuk memecahkan masalah pertama yang disebutkan di atas.

Saat ini, teknologi berikut ini terutama digunakan untuk mengatur saluran VPN terenkripsi: IPSec (Keamanan IP), OpenVPN dan PPTP (Point-to-Point Tunneling Protocol).

Pemimpin yang tak terbantahkan, tentu saja, adalah IPSec, dan kita akan membicarakannya.

Pertama, Anda perlu memahami bahwa IPSec bukanlah sebuah protokol, ini adalah standar yang mencakup sebanyak tiga protokol, masing-masing dengan fungsinya sendiri:

khususnya(Encapsulate Security Payload) berhubungan langsung dengan enkripsi data, dan juga dapat menyediakan otentikasi sumber dan verifikasi integritas data
AH.(Authentication Header - header otentikasi) bertanggung jawab untuk mengautentikasi sumber dan memeriksa integritas data
seperti(Protokol Pertukaran Kunci Internet) digunakan untuk membentuk IPSec SA (Asosiasi Keamanan, lebih lanjut tentang itu di bawah), dengan kata lain, untuk mengoordinasikan pekerjaan peserta dalam koneksi aman. Dengan menggunakan protokol ini, peserta menyepakati algoritma enkripsi apa yang akan digunakan, algoritma apa yang akan digunakan (dan apakah akan ada pemeriksaan integritas), dan bagaimana cara mengautentikasi satu sama lain.

Sebelum melanjutkan, mari kita pahami istilah SA - Asosiasi Keamanan. SA secara umum adalah sekumpulan parameter koneksi aman (misalnya algoritma enkripsi, kunci enkripsi) yang dapat digunakan oleh kedua sisi koneksi. Setiap koneksi memiliki rekan SA bersamanya.
Sekarang, secara berurutan, bagaimana koneksi aman dibuat di IPSec:

Pertama, peserta harus menyetujui algoritma/mekanisme keamanan apa yang akan mereka gunakan untuk koneksi aman mereka, dan di sinilah IKE berperan. Prosesnya terdiri dari dua tahap:
- Fase satu: peserta saling mengautentikasi dan menyepakati parameter untuk membuat koneksi khusus (juga aman), yang dimaksudkan hanya untuk bertukar informasi tentang algoritma enkripsi yang diinginkan/didukung dan rincian lain dari terowongan IPSec masa depan. Parameter terowongan mini ini (benar disebut Terowongan ISAKMP) ditentukan oleh kebijakan ISAKMP, ke dalam mode pengeditan yang dapat kita peroleh dari mode konfigurasi dengan perintah kebijakan isakmp kripto nomor_polis . Jika para pihak sudah mencapai kesepakatan, maka dibuatlah terowongan ISAKMP (keberadaannya dapat dilihat dengan perintah tampilkan kripto isakmp sa), yang sudah menjalani IKE tahap kedua.
- Fase kedua: peserta yang sudah saling percaya sepakat tentang cara membangun terowongan data utama. Mereka bergiliran menawarkan satu sama lain pilihan yang ditentukan dalam perintah set transformasi crypto ipsec, dan, jika mereka mencapai kesepakatan, mereka membangun terowongan utama. Harus dikatakan bahwa, setelah didirikan, terowongan ISAKMP tambahan tidak hilang di mana pun - terowongan ini digunakan untuk memperbarui SA terowongan utama. Faktanya adalah bahwa kunci yang dipilih untuk mengenkripsi informasi dalam terowongan IPSec memiliki "masa pakai" tertentu (dapat dinyatakan dalam byte atau detik - yang pertama mencapai nilai ambang batas), setelah itu harus diganti. Ini seperti kata sandi yang Anda ubah satu kali dalam satu jam (masa pakai IPSec SA default adalah 4608000 kilobyte/3600 detik).
Para peserta menerima terowongan terenkripsi dengan parameter yang sesuai untuk mereka semua, dan mengirimkan aliran data ke sana yang tunduk pada enkripsi, yaitu, termasuk dalam daftar akses yang ditentukan dalam peta kripto.
Secara berkala, sesuai dengan masa pakai yang dikonfigurasi, kunci enkripsi untuk terowongan utama diperbarui: peserta kembali berkomunikasi melalui terowongan ISAKMP, melewati fase kedua dan membuat SA baru.

Sebenarnya, tidak ada langkah nol dalam proses ini: beberapa lalu lintas harus cocok dengan daftar akses di peta kripto. Hanya setelah ini segalanya akan terjadi.

Sekarang sedikit tentang set transformasi dan perbedaan ESP dari AH. Bagaimana data kami yang melewati terowongan akan dienkripsi ditentukan oleh tim set transformasi crypto ipsec set_nama , diikuti dengan nama protokol yang akan digunakan (ESP atau AH) + algoritma kerja protokol tersebut. Misalnya perintah crypto ipsec transform-set SET1 esp-aes akan menjelaskan kepada router bahwa set transformasi bernama “SET1”, jika diterapkan, hanya akan bekerja melalui protokol ESP dengan enkripsi AES. Nah, jika semuanya kurang lebih jelas dengan ESP, tugasnya adalah mengenkripsi (menyediakan kerahasiaan), apa itu AH dan mengapa itu diperlukan? AH menyediakan otentikasi data, yaitu memberikan keyakinan bahwa data ini datang persis dari orang yang kita buat sambungannya, dan tidak diubah selama proses tersebut. Tanpa menjelaskan secara detail, cara kerjanya seperti ini: di setiap paket, antara header IP dan header lapisan transport, disisipkan header AH, yang berisi:

informasi dimana penerima dapat memahami SA mana yang dimiliki paket ini (yaitu, termasuk algoritma mana yang harus ia gunakan untuk menghitung hash untuk perbandingan - MD5 atau SHA)
yang disebut ICV (Integrity Check Value), yang merupakan hash dari paket (sebenarnya, bukan keseluruhan paket, tetapi kolom yang tidak berubah selama perjalanan), yang memungkinkan penerima memverifikasi dengan jelas bahwa paket ini belum diubah sepanjang proses, dengan menghitung hash dari informasi yang sama dan membandingkan hasilnya dengan nilai bidang ini.

IPSec dapat beroperasi dalam dua mode: terowongan dan transportasi.

Mode terowongan IPSec

Dalam mode ini, paket IP asli Anda diambil, dienkripsi secara penuh, bersama dengan header IP, informasi layanan IPSec, dan header IP baru ditambahkan:

*gambarnya tidak akurat dan hanya menampilkan esensinya, malah masih banyak lagi judulnya, dan ada juga trailer di bagian akhir.

Ini adalah modus bawaan.

Mari kita lihat kembali proses pengaturannya.

Di sisi lokal:

Pertama, kebijakan umum untuk fase 1 adalah menetapkan terowongan tambahan pertama: jenis enkripsi (DES secara default) dan otentikasi. Otentikasi dapat dilakukan berdasarkan sertifikat, namun kita akan melihat contoh sederhana dengan kunci yang dibagikan sebelumnya:

kebijakan isakmp kripto 1
termasuk aes
otentikasi pra-berbagi

Seringkali beberapa kebijakan ini ditentukan dengan kombinasi enkripsi, hash, dan grup DH yang berbeda.
Ketika isakmp sa dibuat, pihak yang memulai koneksi mengirimkan semua kebijakan isakmp yang dikonfigurasi secara lokal.
Pihak penerima meninjau kebijakan yang dikonfigurasi secara lokal satu per satu, berdasarkan prioritas. Kebijakan pertama yang ditemukan kecocokannya akan digunakan.

Tentukan kunci yang dibagikan sebelumnya untuk memverifikasi keaslian tetangga 200.0.0.1

kripto isakmp kunci alamat CISCO 200.0.0.1

Selanjutnya, kita tentukan parameter untuk memproses lalu lintas. Algoritma enkripsi AES menggunakan header ESP dan algoritma autentikasi.

Faktanya, kami segera menunjukkan sekumpulan protokol, seperti yang Anda lihat, ini disebut transform-set. Saat membuat sesi IPSec, router menukar set ini. Mereka harus cocok.

Untuk menyederhanakan pemecahan masalah, nama untuk transform-set biasanya diberikan sesuai dengan protokol yang digunakan.

Sekarang mari kita buat peta enkripsi:

peta kripto MAP1 10 ipsec-isakmp
atur rekan 200.0.0.1
alamat yang cocok 101

Di sinilah alamat tetangga IPSec ditentukan, yang kemudian akan dibuat terowongan - 200.0.0.1. Seperangkat protokol dan ACL segera terpasang, yang menentukan lalu lintas apa yang akan dienkripsi dan dikirimkan melalui terowongan.

Dalam kasus kami, tampilannya seperti ini:

daftar akses 101 izin ip host 10.0.0.0 host 10.1.1.0

Hati-hati saat mengatur ACL. Ini mendefinisikan parameter tidak hanya lalu lintas keluar, tetapi juga lalu lintas masuk (tidak seperti ACL untuk NAT, misalnya).
Artinya, jika paket datang bukan dari 10.1.1.0, tetapi dari 10.2.2.2, maka paket tersebut tidak akan diproses dan didekripsi.

Artinya, jika kita menghasilkan lalu lintas dari host dengan alamat 10.0.0.0 hingga 10.1.1.0, maka hanya itu yang akan dienkripsi dan dikirim secara khusus ke terowongan IPSec. Orang lain akan mengambil rute sederhana.

Perhatikan bahwa enkripsi terjadi hampir terakhir kali, setelah perutean.
Dan ini, omong-omong, sangat bagus poin penting. Rute ke alamat publik rekan (200.0.0.1) tidak cukup untuk Anda. Kita memerlukan rute ke 10.1.1.0, meskipun itu adalah rute default. Jika tidak, paket akan dibuang sesuai aturan routing normal.
Betapapun anehnya kelihatannya, lalu lintas ke jaringan lokal Anda harus “diarahkan”, misalnya ke Internet. Pada saat yang sama, paket pribadi yang akan dikirim ke penyedia dan dibuang di sana dienkripsi pada saat terakhir, menerima alamat publik.
Omong-omong, ada tabel dengan urutan operasi yang dilakukan pada lalu lintas.

Langkah terakhir adalah mengikat kartu enkripsi ke antarmuka. Sampai Anda melakukan ini, mekanismenya tidak akan berfungsi.

antarmuka FastEthernet0/0
peta kripto MAP1

DENGAN sisi sebaliknya Anda perlu melakukan penyesuaian simetris.
Oleh karena itu, kita cukup menerapkan konfigurasi berikut pada R3:

kebijakan isakmp kripto 1
termasuk aes
otentikasi pra-berbagi
kripto isakmp kunci alamat CISCO 100.0.0.1
!
!
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
!
peta kripto MAP1 10 ipsec-isakmp
atur rekan 100.0.0.1
atur transformasi-set AES128-SHA
alamat yang cocok 101
Antarmuka FastEthernet0/1
peta kripto MAP1
Daftar akses 101 izin ip host 10.1.1.0 host 10.0.0.0

Itu saja.

Tapi tidak peduli seberapa banyak kamu menjaganya tampilkan sesi kripto atau tampilkan kripto isakmp sa, kamu hanya akan melihat Turun. Terowongan tidak naik.
Penghitung tampilkan kripto IPSec sa. Sama untuk angka nol.

Sesi kripto R1#sh
Antarmuka: FastEthernet0/0
Status sesi: BAWAH
Rekan: 200.0.0.1 port 500
SA aktif: 0, asal: peta kripto
R1#sh kripto isakmp sa

Intinya adalah Anda perlu mengarahkan lalu lintas ke sana. Dalam arti sebenarnya, misalnya seperti ini:

R1#ping 10.1.1.0 sumber 10.0.0.0

Mengirim 5 ICMP Echo 100-byte ke 10.1.1.0, batas waktu adalah 2 detik:
Paket dikirim dengan alamat sumber 10.0.0.0
.!!!
Tingkat keberhasilan 80 persen (4/5), pulang pergi min/rata-rata/maks = 60/94/160 mdtk

Dan setelah Anda melakukan ini, kesuksesan menanti Anda:

Sesi kripto R1#sh
Status sesi kripto saat ini
Antarmuka: FastEthernet0/0
Status sesi: UP-AKTIF
Rekan: 200.0.0.1 port 500
IKE SA: lokal 100.0.0.1/500 jarak jauh 200.0.0.1/500 Aktif
IPSEC FLOW: izinkan ip host 10.0.0.0 host 10.1.1.0
SA aktif: 2, asal: peta kripto
R1#sh kripto isakmp sa
status slot conn-id status dst src
200.0.0.1 100.0.0.1 QM_IDLE 1 0 AKTIF

Konfigurasi awal: "IPsec"
Router R1 terletak di kantor pusat.
Router R3 adalah router di salah satu cabang.
Router R4 ditambahkan ke diagram - cabang kedua.

Latihan:
1. Siapkan terowongan IPsec menggunakan crypto-map antara R4 dan R1:
- Kebijakan perlindungan data sama dengan terowongan antara R3 dan R1.
2. Tambahkan pengaturan yang sesuai agar R3 dan R4 juga dapat bertukar data:
- Data antar cabang di belakang R3 dan R4 harus dikirim melalui router pusat R1

Konfigurasi: "IPsec"

Catatan:
Permasalahan tersebut dapat diselesaikan baik secara teoritis maupun praktis.
Jika Anda mencoba soal dalam praktik, ikuti dengan cermat kondisi soal.

Kondisi masalah:
Router R1 terletak di kantor pusat dan 3 cabang akan terhubung dengannya (untuk tugas ini, router R1, R2, R3 sudah cukup. R3 - sebagai salah satu cabang). Cabang menggunakan router dengan kemampuan berbeda, dan itu perlu untuk digunakan kebijakan yang berbeda IPSec. Ada total 3 kebijakan berbeda.
Pada router R3, selain tunnel ke kantor pusat, juga terdapat beberapa tunnel dengan partner. Oleh karena itu, berbagai kebijakan pun dibuat di sini.
Lalu lintas hanya ditransmisikan dari cabang ke kantor pusat; tidak ada komunikasi antar cabang.

Dari kantor cabang R3, data dihasilkan ke kantor pusat R1 yang memulai terowongan VPN.
Pertanyaan: Kebijakan perlindungan data apa yang akan digunakan router untuk membangun terowongan di antara mereka?

Skema: “skema akhir soal 7.1”
Konfigurasi perangkat: di situs web proyek

Deskripsi masalahnya:
Tidak ada data yang ditransfer antara R1 dan R4.

Latihan:
Temukan kesalahannya dan perbaiki konfigurasinya sehingga terowongan dibuat antara R1 dan R4 dan lalu lintas ditransmisikan antara R1 dan R4.

Konfigurasi: di situs proyek

Deskripsi masalahnya:
Setelah mengatur GRE melalui IPSec antara R1 dan R3, semuanya berfungsi dengan baik, lalu lintas antara R1 dan R3 (dari 10.0.0.0 ke 10.1.1.0) dikirimkan.
Namun, beberapa hari kemudian, ketika administrator ingin melihat status VPN, ditemukan bahwa tidak ada SA yang diinstal pada router sama sekali.
Oleh karena itu, lalu lintas antara R1 dan R3 tidak dienkripsi.

Latihan:
Penting untuk memeriksa pengaturan, memperbaiki konfigurasi dan memastikan bahwa lalu lintas dienkripsi (lalu lintas antara antarmuka loopback 10.0.0.0 dan 10.1.1.0).

Satu tambahan lagi dapat dibuat di sini: secara teknis, Anda dapat mengecualikan header GRE empat byte dari paket dengan menunjukkan di kedua sisi bahwa mode operasi terowongan IPIP adalah:
antarmuka Tunnel0
mode terowongan ipip

Anda benar-benar perlu mengingat bahwa dalam kasus ini hanya data IP yang dapat dienkapsulasi, dan bukan data apa pun, seperti dalam kasus GRE.

Skema: "GRE_over_IPSec"

Latihan:
Ubah konfigurasi GRE over IPSec asli dan konfigurasikan GRE over IPsec tanpa menggunakan crypto-map.

DMVPN

Pendewaan rilis hari ini adalah DMVPN (Dymamic Multipoint VPN). Sampai saat ini kita telah membicarakan hal-hal yang universal dan tidak bergantung pada vendor. Sayangnya, DMVPN murni buatan Cisco dan belum memiliki analog terbuka yang memadai (koreksi saya jika saya salah).

Di bagian sebelumnya, kami memecahkan masalah keamanan data yang dikirimkan - sekarang kami mengenkripsinya - dan dengan IGP - melalui GRE melalui IPSec kami menggunakan protokol perutean dinamis.
Masalah terakhir yang masih ada adalah skalabilitas.
Ada baiknya bila Anda memiliki kisi seperti ini:

Dua terowongan di setiap node dan hanya itu.
Tambahkan simpul lain:

Dan satu lagi:

Dibutuhkan lebih banyak terowongan untuk mendapatkan topologi yang terhubung sepenuhnya. Masalah umum dengan kompleksitas m*(m-1)/2.
Jika Anda tidak menggunakan Full-Mesh, tetapi beralih ke topologi Hub-and-Spoke dengan satu titik pusat, maka masalah lain akan muncul - lalu lintas antar cabang mana pun akan melewati node pusat.

DMVPN menyelesaikan kedua masalah tersebut.
Idenya adalah ini: pilih satu titik Hub pusat (atau beberapa). Ini akan menjadi server tempat klien (Spoke) akan terhubung dan menerima semua informasi yang diperlukan. Dalam hal ini:

1) Data akan dienkripsi dengan IPSec
2) Klien dapat mengirimkan lalu lintas secara langsung satu sama lain, melewati node pusat
3) Hanya pada node pusat diperlukan alamat IP publik statis. Host jarak jauh dapat memiliki alamat dinamis dan bahkan berada di belakang NAT, menggunakan alamat dari rentang pribadi (Teknologi Traversal NAT). Namun hal ini menciptakan batasan terkait terowongan dinamis.

Ini semua adalah kekuatan GRE dan IPSec, yang dibumbui dengan NHRP dan IGP.

Teori dan praktik DMVPN

Mengabstraksi dari jaringan lama kami, kami hanya akan mempertimbangkan Moskow, jaringan Internet, yang akan ditiru oleh router Balagan-Telecom, dan cabangnya sendiri di Novosibirsk, Tomsk, dan Brno:

Paket IP baru:
Subnet yang dialokasikan untuk menghubungkan cabang ke Internet:

Untuk antarmuka terowongan, mari kita ambil jaringan internal:

Dan mari kita tetapkan juga alamat Loopback untuk mereka:

Idenya adalah bahwa akan ada satu terowongan dinamis di node pusat, yang akan kita konfigurasikan di awal, dan saat menambahkan titik jarak jauh baru, tidak ada perubahan yang diperlukan di sini - baik menambahkan antarmuka terowongan baru, maupun mengkonfigurasi ulang yang sudah ada.
Faktanya, saat menambahkan node baru, Anda hanya perlu mengkonfigurasinya.
NHRP – Protokol resolusi NBMA Next Hop diluncurkan di mana-mana.
Ini memungkinkan Anda mempelajari secara dinamis alamat titik-titik jarak jauh yang ingin Anda sambungkan ke titik utama.
Kemampuan untuk mengimplementasikan VPN multipoint didasarkan pada hal tersebut. Hub (node pusat) di sini bertindak sebagai server (NHS - Next-Hop Server), dan semua node jarak jauh akan menjadi klien (NHC - Next-Hop Client).
Kedengarannya rumit. Juga tidak mungkin untuk menjelaskannya dengan jari Anda. Anda hanya perlu mengkonfigurasinya sekali dan melihat bagaimana paket berjalan.

Konfigurasi hub:

antarmuka Tunnel0

ip nhrp id jaringan 1

mode terowongan multipoint abu-abu

Secara berurutan:
alamat ip 172.16.254.1 255.255.255.0
ip nhrp peta multicast dinamis– Pembelajaran dinamis data NHRP dari klien. Karena kami memiliki banyak klien dan mereka dapat memiliki alamat dinamis, tidak mungkin untuk mengatur korespondensi eksplisit antara alamat internal dan eksternal di hub.
ip nhrp id jaringan 1– Kami mendefinisikan ID Jaringan - hanya pengidentifikasi yang tidak harus sama di semua node DMVPN (mirip dengan ID Router OSPF).
sumber terowongan FastEthernet0/1.6– warisan GRE – mengikat antarmuka fisik.
mode terowongan multipoint abu-abu– Terowongan di node pusat akan mengakhiri semua terowongan dari titik-titik jauh. Artinya, ini akan menjadi point-to-multipoint.

Konfigurasi cabang:

antarmuka Tunnel0

ip nhrp id jaringan 1
ip nhrp nhs 172.16.254.1
pendaftaran ip nhrp tidak unik

mode terowongan multipoint abu-abu

Secara berurutan:
alamat ip 172.16.254.2 255.255.255.0– Alamat IP dari rentang yang diinginkan.
peta ip nhrp 172.16.254.1 198.51.100.2– Rasio statis alamat hub internal dan eksternal.
ip nhrp peta multicast 198.51.100.2 lalu lintas multicast harus diterima oleh hub.

Tanpa perintah ini Anda akan mendapatkan beberapa gejala masalah yang cukup menarik.
Jadi Anda meluncurkan OSPF, peering naik, hub dan cabang masuk ke status Penuh, mereka bertukar rute, dan Anda sudah senang bahwa semuanya baik-baik saja, dan kemudian bam - ping menghilang, peering turun, tetapi hanya pada satu sisi lain, mereka bilang pengatur waktu mati telah habis masa berlakunya.
*1 Maret 01:51:20.331: %OSPF-5-ADJCHG: Proses 1, Nbr 172.16.255.2 di Tunnel0 dari LENGKAP ke BAWAH, Neighbor Down: Pengatur waktu mati kedaluwarsa
msk-arbat-gw1#
*1 Maret 01:51:25.435: %OSPF-5-ADJCHG: Proses 1, Nbr 172.16.255.2 di Tunnel0 dari LOADING ke FULL, Loading Selesai
Apa ini?
Kami melihat debugnya, kami melihat dumpnya
*1 Maret 01:53:44.915: OSPF: Kirim hello ke 224.0.0.5 area 0 di FastEthernet0/1.4 dari 172.16.2.1
*1 Maret 01:53:44.919: OSPF: Kirim hello ke 224.0.0.5 area 0 di FastEthernet0/1.7 dari 172.16.2.33
*1 Maret 01:53:44.923: OSPF: Kirim hello ke 224.0.0.5 area 0 di FastEthernet0/1.5 dari 172.16.2.17
*1 Maret 01:53:44.923: OSPF: Kirim hello ke 224.0.0.5 area 0 di FastEthernet0/1.8 dari 172.16.2.129
*1 Maret 01:53:44.963: OSPF: Kirim hello ke 224.0.0.5 area 0 di Tunnel0 dari 172.16.254.1
msk-arbat-gw1#
*1 Maret 01:53:54.919: OSPF: Kirim hello ke 224.0.0.5 area 0 di FastEthernet0/1.4 dari 172.16.2.1
*1 Maret 01:53:54.923: OSPF: Kirim hello ke 224.0.0.5 area 0 di FastEthernet0/1.7 dari 172.16.2.33
*1 Maret 01:53:54.927: OSPF: Kirim hello ke 224.0.0.5 area 0 di FastEthernet0/1.5 dari 172.16.2.17
*1 Maret 01:53:54.931: OSPF: Kirim hello ke 224.0.0.5 area 0 di FastEthernet0/1.8 dari 172.16.2.129
*1 Maret 01:53:54.963: OSPF: Kirim hello ke 224.0.0.5 area 0 di Tunnel0 dari 172.16.254.1
msk-arbat-gw1#
*1 Maret 01:54:04.919: OSPF: Kirim hello ke 224.0.0.5 area 0 di FastEthernet0/1.4 dari 172.16.2.1
*1 Maret 01:54:04.927: OSPF: Kirim hello ke 224.0.0.5 area 0 di FastEthernet0/1.7 dari 172.16.2.33
*1 Maret 01:54:04.931: OSPF: Kirim hello ke 224.0.0.5 area 0 di FastEthernet0/1.5 dari 172.16.2.17
*1 Maret 01:54:04.935: OSPF: Kirim hello ke 224.0.0.5 area 0 di FastEthernet0/1.8 dari 172.16.2.129
*1 Maret 01:54:04.963: OSPF: Kirim hello ke 224.0.0.5 area 0 di Tunnel0 dari 172.16.254.1

Untuk 5 OSPF Hello dari hub, hanya ada satu Hello dari cabang.
Seperti yang sudah Anda pahami, router tidak tahu ke mana harus mengirim pesan multicast ke alamat 224.0.0.5, hub tidak menerimanya dan menghentikan sesi OSPF.

ip nhrp id jaringan 1– ID Jaringan. Tidak harus sama dengan yang ada di hub.
ip nhrp nhs 172.16.254.1– Alamat server NHRP yang dikonfigurasi secara statis – hub. Inilah mengapa kita memerlukan alamat publik statis di tengah. Klien mengirimkan permintaan registrasi ke hub 172.16.254.1. Permintaan ini berisi alamat lokal yang dikonfigurasi dari antarmuka terowongan, serta alamat publiknya (kami tidak mempertimbangkan kasus ketika klien menggunakan NAT).
Hub memasukkan informasi yang diterima ke dalam tabel pencocokan alamat NHRP-nya. Ini mendistribusikan tabel yang sama berdasarkan permintaan ke router Spoke mana pun.

pendaftaran ip nhrp tidak unik– jika alamat di cabang dikeluarkan secara dinamis, perintah ini diperlukan.
sumber terowongan FastEthernet0/0– mengikat ke antarmuka fisik.
mode terowongan multipoint abu-abu– kami menunjukkan bahwa jenis terowongannya adalah mGRE - ini akan memungkinkan Anda membuat terowongan secara dinamis tidak hanya ke hub, tetapi juga ke cabang lain.

Situasi kami sederhana - tanpa NAT - dan kami dapat memeriksa status terowongan sekarang.

msk-arbat-gw1#sh int tun 0
Tunnel0 sudah aktif, protokol jalur sudah aktif
Perangkat keras adalah Terowongan
Alamat internetnya adalah 172.16.254.1/24
MTU 1514 byte, BW 9 Kbit, DLY 500000 penggunaan,
keandalan 255/255, txload 1/255, rxload 1/255
TUNNEL enkapsulasi, loopback tidak disetel
Tetap hidup tidak disetel
Sumber terowongan 198.51.100.2 (FastEthernet0/1.6), tujuan TIDAK DIKETAHUI
Protokol terowongan/transportasi multi-GRE/IP
Kunci dinonaktifkan, pengurutan dinonaktifkan
Checksumming paket dinonaktifkan

msk-arbat-gw1#ping 172.16.254.2
Ketik urutan pelarian ke aborsi.
Mengirim 5 ICMP Echo 100-byte ke 172.16.254.2, batas waktu adalah 2 detik:
!!!
Tingkat keberhasilan 100 persen (5/5), pulang pergi min/rata-rata/maks = 176/213/284 ms

msk-arbat-gw1#sh ip nhrp singkat

msk-arbat-gw1#sh ip nhrp
172.16.254.2/32 melalui 172.16.254.2, Tunnel0 dibuat 00:09:48, kedaluwarsa 01:50:11
Tipe: dinamis, Bendera: terdaftar unik dan otoritatif
Alamat NBA: 198.51.101.2
Nsk-obsea-gw1#sh ip nhrp singkat
Target Melalui Mode NBMA Intfc Diklaim

OSPF

Artinya, konektivitas telah dipastikan, tetapi cabang belum dapat berfungsi - perutean belum dikonfigurasi.

Di sini, setiap protokol memiliki kehalusannya masing-masing.
Mari kita lihat proses konfigurasi OSPF sebagai contoh.

Karena kami memiliki jaringan siaran L2 pada antarmuka terowongan, kami secara eksplisit menunjukkan jenis jaringan Siaran pada antarmuka terowongan di semua node:

Selain itu, DR harus dipilih dalam jaringan tersebut. Masuk akal untuk menjadi hub. Kami melarang semua router Spoke berpartisipasi dalam pemilihan DR:

Dan, tentu saja, kami menentukan jaringan yang diumumkan.

router ospf 1
jaringan 172.16.0.0 0.0.255.255 luas 0

Jaringan diumumkan:

msk-arbat-gw1#sh rute ip
Gerbang pilihan terakhir adalah 198.51.100.1 ke jaringan 0.0.0.0
172.16.0.0/16 memiliki subnet yang bervariasi, 7 subnet, 3 masker
C 172.16.2.128/30 terhubung langsung, FastEthernet0/1.8
C 172.16.255.1/32 terhubung langsung, Loopback0
C 172.16.254.0/24 terhubung langsung, Tunnel0
C 172.16.2.32/30 terhubung langsung, FastEthernet0/1.7
C 172.16.2.16/30 terhubung langsung, FastEthernet0/1.5
C 172.16.2.0/30 terhubung langsung, FastEthernet0/1.4
O 172.16.255.128/32 melalui 172.16.254.2, 00:05:14, Terowongan0
198.51.100.0/28 disubnet, 1 subnet
C 198.51.100.0 terhubung langsung, FastEthernet0/1.6
S* 0.0.0.0/0 melalui 198.51.100.1

Ping lolos

msk-arbat-gw1#ping 172.16.255.128
Ketik urutan pelarian ke aborsi.
Mengirim 5 ICMP Echo 100-byte ke 172.16.255.128, batas waktu adalah 2 detik:
!!!
Tingkat keberhasilan 100 persen (5/5), pulang pergi min/rata-rata/maks = 60/70/80 mdtk

Seperti inilah tampilan paket yang dikirimkan melalui Internet:

* Buang dari nsk-obsea-gw1 fa0/0

Mari kita periksa bagaimana ping kita berpindah dari satu cabang ke cabang lainnya:

nsk-obsea-gw1#ping 172.16.255.132
Ketik urutan pelarian ke aborsi.
Mengirim 5 ICMP Echo 100-byte ke 172.16.255.132, batas waktu adalah 2 detik:
!!!
Tingkat keberhasilan 100 persen (5/5), pulang pergi min/rata-rata/maks = 132/231/492 ms
Nsk-obsea-gw1#traceroute 172.16.255.132
Ketik urutan pelarian ke aborsi.
Menelusuri rute ke 172.16.255.132
1 172.16.254.3 240 mdtk * 172 mdtk
Nsk-obsea-gw1#sh ip nhrp br
Target Melalui Mode NBMA Intfc Diklaim
172.16.254.1/32 172.16.254.1 198.51.100.2 statis Tu0

Seperti yang Anda lihat, paket tidak masuk ke hub, tetapi langsung ke router cabang lain melalui Internet. Namun kenyataannya agak lebih rumit.

Apa yang terjadi saat ini?
1) Kirim ping ke alamat antarmuka Loopback di Tomsk
2) Menurut tabel routing, hop berikutnya

Pembaruan terakhir dari 172.16.254.3 di Tunnel0, 00:18:47 lalu
Blok Deskriptor Perutean:
* 172.16.254.3, dari 172.16.255.132, 00:18:47 lalu, melalui Tunnel0

Ini adalah alamat dari jaringan yang terhubung langsung ke antarmuka Tunnel 0

Blok Deskriptor Perutean:
* terhubung langsung, melalui Tunnel0

3) Menurut pengaturan antarmuka, NHRP digunakan di sini. Kami melihat tabel korespondensi yang diterima dari hub

nsk-obsea-gw1#sh ip nhrp singkat
Target Melalui Mode NBMA Intfc Diklaim
172.16.254.1/32 172.16.254.1 198.51.100.2 statis Tu0

Seperti yang Anda lihat, alamatnya adalah 172.16.254.3 nhrp tidak dikenal.
Oleh karena itu, paket ICMP dikirim ke hub yang dikonfigurasi secara statis - 198.51.100.2:

msk-arbat-gw1, fa0/1:

Dan hub segera mengalihkan permintaan ke alamat yang diinginkan:

msk-arbat-gw1, fa0/1:

4) Pada saat yang sama, router klien di Novosibirsk mengirimkan permintaan NHRP, mengatakan siapa yang menyembunyikan alamat 172.16.254.3:

msk-arbat-gw1, fa0/1:

5) Hub memiliki pengetahuan ini:

msk-arbat-gw1#sh ip nhr br
Target Melalui Mode NBMA Intfc Diklaim
172.16.254.2/32 172.16.254.2 198.51.101.2 dinamis Tu0
172.16.254.3/32 172.16.254.3 198.51.102.2 dinamis Tu0

Dan mengirimkan informasi ini dalam respons NHRP:

msk-arbat-gw1, fa0/1:

Hub tidak lagi ikut campur dalam percakapan antara kedua Spock.

6) Permintaan ICMP tiba di Tomsk:

tmsk-lenina-gw1, fa0/0:

Terlepas dari kenyataan bahwa di header eksternal alamat IP sumber adalah alamat hub, alamat asli router Novosibirsk muncul di dalam:

7) Tomsk juga belum mengetahui apapun tentang alamat 172.16.254.2 yang mengirimkan permintaan ICMP.

Target Melalui Mode NBMA Intfc Diklaim
172.16.254.1/32 172.16.254.1 198.51.100.2 statis Tu0

Oleh karena itu, ia juga mengirimkan respons ICMP ke hub:
tmsk-lenina-gw1, fa0/0:

8) Selanjutnya dia menanyakan alamat umum pengirim:

tmsk-lenina-gw1, fa0/0:

9) Nah, hub tentu saja menjawab:

tmsk-lenina-gw1, fa0/0:

10) Sekarang semua node memiliki informasi NHRP terkini:

msk-arbat-gw1(config-if)#do sh ip nhr br
Target Melalui Mode NBMA Intfc Diklaim
172.16.254.2/32 172.16.254.2 198.51.101.2 dinamis Tu0
172.16.254.3/32 172.16.254.3 198.51.102.2 dinamis Tu0

Target Melalui Mode NBMA Intfc Diklaim
172.16.254.1/32 172.16.254.1 198.51.100.2 statis Tu0
172.16.254.3/32 172.16.254.3 198.51.102.2 dinamis Tu0

tmsk-lenina-gw1(config-if)#do sh ip nh br
Target Melalui Mode NBMA Intfc Diklaim
172.16.254.1/32 172.16.254.1 198.51.100.2 statis Tu0
172.16.254.2/32 172.16.254.2 198.51.101.2 dinamis Tu0

Seperti yang Anda lihat, distribusi tidak terjadi secara otomatis, tetapi berdasarkan permintaan, dan hanya klien yang menjadi pemrakarsa, karena sebenarnya hanya mereka yang tahu ke mana harus pergi (hub awalnya tidak tahu apa-apa tentang klien)

11) Ini akan mengirimkan permintaan ICMP berikutnya dengan cara baru:

nsk-obsea-gw1#sh rute ip 172.16.255.132
Entri perutean untuk 172.16.255.132/32
Dikenal melalui "ospf 1", jarak 110, metrik 11112, tipe intra area
Pembaruan terakhir dari 172.16.254.3 di Tunnel0, 00:20:24 lalu
Blok Deskriptor Perutean:
* 172.16.254.3, dari 172.16.255.132, 00:20:24 lalu, melalui Tunnel0
Metrik rute adalah 11112, jumlah pembagian lalu lintas adalah 1

Subnet 172.16.254.0 terhubung ke antarmuka Tunnel 0

nsk-obsea-gw1#sh rute ip 172.16.254.3
Entri perutean untuk 172.16.254.0/24
Dikenal melalui “terhubung”, jarak 0, metrik 0 (terhubung, melalui antarmuka)
Blok Deskriptor Perutean:
* terhubung langsung, melalui Tunnel0
Metrik rute adalah 0, jumlah pembagian lalu lintas adalah 1

12) Kami mengulanginya sedikit, tapi... Antarmuka Tunnel 0 adalah mGRE dan menurut tabel NHRP, semua lalu lintas yang hop berikutnya adalah 172.16.254.3 harus dienkapsulasi dalam GRE dan header IP eksternal dengan tujuannya alamat 198.51.102.2 (Alamat sumber akan menjadi alamat antarmuka fisik yang dipilih – 198.51.101.2):

nsk-obsea-gw1(config-if)#do sh ip nhr br
Target Melalui Mode NBMA Intfc Diklaim
172.16.254.1/32 172.16.254.1 198.51.100.2 statis Tu0
172.16.254.3/32 172.16.254.3 198.51.102.2 dinamis Tu0

tmsk-lenina-gw1, fa0/0:

Gerbang pilihan terakhir adalah 198.51.101.1 ke jaringan 0.0.0.0

Penting untuk dipahami di sini bahwa meskipun komunikasi antar cabang melewati hub pusat, namun hub memiliki fungsi tambahan yang penting di sini dan tidak ada yang akan berhasil tanpanya: ia menyediakan tabel NHRP kepada klien, dan juga mengumumkan semua rute. - cabang mendistribusikan informasi perutean tidak secara langsung satu sama lain, tetapi melalui hub.

Konfigurasi simpul saat ini:

msk-arbat-gw1
antarmuka Tunnel0
alamat ip 172.16.254.1 255.255.255.0
tidak ada pengalihan ip
ip nhrp peta multicast dinamis
ip nhrp id jaringan 1
siaran jaringan ip ospf
prioritas ip ospf 10
sumber terowongan FastEthernet0/1.6
mode terowongan multipoint abu-abu
Nsk-obsea-gw1
antarmuka Tunnel0
alamat ip 172.16.254.2 255.255.255.0
tidak ada pengalihan ip
peta ip nhrp 172.16.254.1 198.51.100.2
ip nhrp peta multicast 198.51.100.2
ip nhrp id jaringan 1
ip nhrp nhs 172.16.254.1
siaran jaringan ip ospf
ip ospf prioritas 0
sumber terowongan FastEthernet0/0
mode terowongan multipoint abu-abu
Tmsk-leneina-gw1
antarmuka Tunnel0
alamat ip 172.16.254.3 255.255.255.0
tidak ada pengalihan ip
peta ip nhrp 172.16.254.1 198.51.100.2
ip nhrp peta multicast 198.51.100.2
ip nhrp id jaringan 1
ip nhrp nhs 172.16.254.1
siaran jaringan ip ospf
ip ospf prioritas 0
sumber terowongan FastEthernet0/0
mode terowongan multipoint abu-abu
akhir

Saat ini, masalah-masalah berikut telah teratasi:
1) Konektivitas. Cabang-cabangnya terhubung dan dapat diakses.
2) Perutean. Terowongan IGP telah berhasil diluncurkan melalui mGRE.
3) Skalabilitas. Saat menambahkan router spoke baru, hanya router itu sendiri yang dikonfigurasi dan tidak perlu masuk ke konfigurasi node yang ada.
4) Hub telah dibongkar - hanya lalu lintas layanan yang dikirimkan melaluinya.

Yang tersisa hanyalah menyelesaikan masalah keamanan.

IPSec

Ini diselesaikan seperti sebelumnya - dengan enkripsi.
Jika untuk Site-to-Site VPN kami masih dapat menggunakan kunci yang dibagikan sebelumnya, karena kami secara ketat menentukan alamat rekan IPSec, maka dalam kasus DMVPN kami memerlukan fleksibilitas, dan kami tidak mengetahui alamat tetangga sebelumnya. .
Dalam hal ini, penggunaan sertifikat dianjurkan. Di xgu ada pusat sertifikat yang bagus untuk cisco.

Namun demi kesederhanaan, kami akan tetap mengambil pengaturan dengan kunci yang dibagikan sebelumnya.

kebijakan isakmp kripto 1
otentikasi pra-berbagi

Ini akan berbeda dari Tunnel Protection dan VTI yang dibahas di atas dalam penggunaan alamat templat:

alamat kunci isakmp kripto DMVPNpass 0.0.0.0 0.0.0.0

Bahayanya di sini adalah perangkat apa pun dapat membuat sesi IPSec dengan hub, mengetahui kuncinya.

Di sini Anda dapat menggunakan moda transportasi dengan aman:

crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
moda transportasi
Profil kripto ipsec DMVPN-P
atur transformasi-set AES128-SHA

Selanjutnya, profil yang dibuat diterapkan ke antarmuka terowongan. Pengaturannya sama di semua node.

antarmuka Tunnel0
perlindungan terowongan profil IPSec DMVPN-P

Sekarang paket yang dikirimkan melalui Internet akan dienkripsi:
msk-arbat-gw1, fa0/1:

Hanya saja, jangan berpikir untuk memasangnya mode terowongan ipsec ipv4 :)

Terowongan IPSec dan kartu enkripsi akan dibuat secara dinamis untuk sesi transfer data antar cabang dan akan bersifat permanen untuk saluran Hub-Spoke.

NAT-Traversal

Di sini kita tidak akan membahas prinsip cara kerja NAT-T. Saya hanya akan menyampaikan intinya: karena header UDP tambahan, IPSec dapat membangun terowongan melalui NAT. Hal ini memungkinkan Anda membuat VPN bahkan pada node yang tidak memiliki alamat publik.
Tidak perlu mengaktifkan atau mengonfigurasi fungsi ini dengan cara khusus apa pun - ini berfungsi secara default.
Mari kita memperumit skema ini dengan menambahkan router lain di Brno.

Katakanlah ini adalah penyedia perangkat keras yang melakukan natifikasi. Faktanya, pada router di cabang kita akan memiliki alamat dinamis dari rentang pribadi pada antarmuka fisik. GRE dalam bentuknya yang murni tidak dapat membuat VPN dalam kondisi seperti itu; IPSec dapat melakukannya, tetapi sulit untuk dikonfigurasi. mGRE yang dikombinasikan dengan IPSec dapat melakukannya dengan mudah!

Mari kita lihat seperti apa tabel NHRP dalam kasus ini:

msk-arbat-gw1#tampilkan ip nhrp singkat
Target Melalui Mode NBMA Intfc Diklaim
172.16.254.4/32 172.16.254.4 10.0.0.2 Tu0 dinamis

Artinya, dia mempelajari alamat pribadi yang dialokasikan oleh penyedia.
Perlu dicatat bahwa tabel perutean harus memiliki rute ke alamat pribadi ini yang dikeluarkan oleh penyedia di cabang, meskipun itu adalah alamat default.

Kami telah mengaktifkan IPSec pada antarmuka terowongan, oleh karena itu kami harus memiliki kartu enkripsi:

msk-arbat-gw1#tampilkan peta kripto
Peta Kripto "Tunnel0-head-0" 65537 ipsec-isakmp
Peta adalah INSTAN PROFIL.
Rekan = 198.51.103.2
Daftar akses IP yang diperluas
izin daftar akses gre host 198.51.100.2 host 10.0.0.2
Rekan saat ini: 198.51.103.2
Masa pakai asosiasi keamanan: 4608000 kilobyte/3600 detik
PFS (Y/T): N
Transformasi himpunan=(
AES128-SHA,
}
Antarmuka menggunakan peta kripto Tunnel0-head-0:
Terowongan0

Jadi, terowongan terenkripsi dibangun antara 198.51.100.2 dan 198.51.103.2, kemudian data, yang masih terenkripsi karena NAT-T, masuk ke 10.0.0.2 di terowongan. Dan kemudian Anda sudah mengetahuinya.

Artikel cerdas dan mendetail tentang NHRP.

Skenario:
Jaringan DMVPN beroperasi penuh, semuanya berfungsi dengan benar.
Namun setelah me-reboot hub msk-arbat-gw1, perilaku aneh dimulai.

Latihan:
1. Periksa fungsionalitas jaringan.
2. Nyalakan ulang hubnya
3. Setelah reboot, periksa kembali fungsionalitas jaringan
4. Perbaiki masalahnya:
4.1. (minimum) Membuat jaringan beroperasi kembali
4.2. Pastikan jaringan dipulihkan secara otomatis setelah hub muncul kembali.

Ini adalah masalah yang umum terjadi pada semua jenis terowongan.

Mengapa ping dan Yandex berfungsi?
Ukuran paket ICMP Request dan Relpy berkisar antara 32 hingga 64 byte, ya.ru mengembalikan sangat sedikit informasi, yang cocok dengan ukuran yang diizinkan 1500 beserta semua judulnya.

Anda mungkin tertarik dengan materi berikut