Туннелирование (компьютерные сети)

Сколько же у вас услуг? Что-то я запутался…

Всего базовых услуг четыре:

— объединение ваших VPN туннелей и организация единой сети, с возможностью маршрутизации ваших частных сетей вида 10.0.0.0, 192.168.0.0

— один VPN туннель от вашего модема (маршрутизатора) и доступ к сети за ним через HTTP и SOCKS5 прокси с авторизацией по логину/паролю

— один VPN туннель от вашего модема (маршрутизатора) и доступ к внутреннему ресурсу, расположенного в частной сети (например 192.168.1.1)  через специализированное доменное имя вида https://your-name.vpnki.ru — Публикация URL

— один VPN туннель от вашего модем (маршрутизатора) и доступ к определенному TCP порту домашнего устройства через специальный внешний порт на адресе msk.vpnki.ru:XXXXX — Проброс TCP порта

Вы можете использовать все четыре услуги одновременно в зависимости от потребностей.

Что такое GRE туннель?

GRE туннель представляет собой соединение точка — точка, его можно считать одной из разновидностей VPN туннеля, без шифрования. Основное достоинство GRE это возможность передавать широковещательный трафик, что позволяет пропускать через такой туннель протоколы маршрутизации использующие его, IPSec — протокол защиты сетевого трафика на IP-уровне туннели в чистом виде этого не могут. Причин для организации GRE туннеля может быть множество от банальной необходимости пробросить свою сеть через чужое IP пространство до использования протоколов OSPF, RIPv2, EGRP совместно с IPSec. Так же GRE, в отличии от IPIP, может помочь пробросить немаршрутизируюмые протоколы, такие как NetBios, IPX, AppleTalk.

Различия между туннель GRE или IPIP:

• IPIP — инкапсулирует только unicast IPv4-трафик
• GRE — IPv4/IPv6 unicast/multicast трафик

Туннелирование увеличивает нагрузку на систему и сеть, потому что добавляются дополнительные IP-заголовки. Таким образом, если обычный размер пакета (MTU) в сети равен 1500 байтам, то при пересылке по туннелю, пакет будет меньше, 1476 байт для GRE и 1480 байт для IPIP. Задать MTU можно вручную или с помощью PMTUD (path MTU discovery). Основная проблема в ручной настройке MTU и/или MSS состоит в том, что по пути между вашими площадками может оказаться линк с MTU, скажем, 1300. Тут на помощь может прийти PMTUD. Протокол целиком и полностью полагается на ICMP протокол диагностики перегрузки сети unreachable messages, которые должны быть разрешены на всем пути между соседями. Cisco рекомендует устанавливать MTU в 1400 байт вне зависимости от того работает GRE поверх IPSec в туннельном или в транспортном режиме.

Туннелирование подразумевает три протокола:

• пассажир — инкапсулированный протокол (IP, CLNP, IPX, AppleTalk, DECnet Phase IV, XNS, VINES и Apollo)
• протокол инкапсуляции (GRE)
• транспортный протокол (IP)

Функциональность

В процессе туннелирования данные будут разбиваться на более мелкие фрагменты, известные как пакеты, которые будут перемещаться по «туннелю» для транспортировки к конечному пункту назначения. Когда эти пакеты проходят через туннель, они шифруются и инкапсулируются. Частные сетевые данные и сопутствующий им информационный протокол также инкапсулируются в передающие устройства сети общего пользования для отправки. В принимающей стороне будет происходить процесс декапсуляции и дешифровки.
Кроме того, туннель рассматривается в качестве логического пути или соединения, которое будет инкапсулировать пакеты, проходящие через транзитную внутреннюю сеть. Этот протокол туннелирования будет шифровать исходный кадр, чтобы содержимое не было интерпретировано за пределами маршрута. Для того чтобы процесс действительно работал, данные будут отправляться, как только туннель будет уже установлен, и клиенты или сервер будут использовать один и тот же туннель для передачи и получения данных через внутреннюю сеть. Передача данных будет зависеть от протоколов туннелирования, которые используются для передачи.

Уровень канала передачи данных — уровень 2

VPN протоколы, которые работают на этом уровне, являются точкой, указывающей на протокол туннелирования и протокол туннелирования второго уровня.

Типы протоколов

В процессе инкапсуляции (туннелирования) принимают участие следующие типы протоколов:

1. транспортируемый протокол;
2. несущий протокол;
3. протокол инкапсуляции.

Протокол транзитной сети является несущим, а протокол объединяемых сетей — транспортируемым. Пакеты транспортируемого протокола помещаются в поле данных пакетов несущего протокола с помощью протокола инкапсуляции. Пакеты-«пассажиры» не обрабатываются при транспортировке по транзитной сети никаким образом. Инкапсуляцию выполняет пограничное устройство (маршрутизатор или шлюз), которое находится на границе между исходной и транзитной сетями. Извлечение пакетов транспортируемого протокола из несущих пакетов выполняет второе пограничное устройство, расположенное на границе между транзитной сетью и сетью назначения. Пограничные устройства указывают в несущих пакетах свои адреса, а не адреса узлов в сети назначения.

Можно чуть подробнее о том, как все работает?

После того, как вы зарегистрировались и вошли в систему, вам предоставляется возможность создания «туннелей».

Для каждого туннеля вам автоматически назначено имя, а пароль вы придумаете сами. Имя и пароль туннеля вам необходимо будет прописать на своем устройстве – маршрутизаторе, телефоне и т.д. При создании туннеля для вашего устройства будет зарезервирован IP-адрес и вы можете видеть его в личном кабинете. Этот адрес выглядить приблизительно как 172.16.xxx.xxx Поменять этот адрес, как и назначенное имя вы не можете. Однако вы может просто создать новый туннель, удалив старый.

Следующим шагом, для каждого из туннелей, вам будет необходимо описать адресацию сети, которая расположена ЗА данным устройством. Например, для туннеля «user123» нужно будет указать адресацию домашней сети в виде 192.168.10.0/24. После выполнения указанных шагов система готова к приему соединений от ваших устройств. При успешном установлении соединения и проверки имени и пароля на ваше устройство могут быть переданы доступные маршруты из вашей единой сети по протоколу DHCP (опции 121 и 249). Это произойдет в том случае, если ваше устройство запросит такую информацию, используя запрос DHCP-Inform.

В случае отсутствия возможности у устройства получения IP-адреса по протоколу DHCP (Android, Linux), вам будет необходимо прописать в ручном режиме маршруты в настройках соединения. Применение настроек маршрутизации на сервере vpnki и передача маршрутов пользовательским устройствам осуществляется ТОЛЬКО при следующем подключении, поэтому в целях тестирования всегда осуществляйте переподключение.