Договор в туннелировании что значит

Обновлено: 01.06.2024

Одна из наиболее часто решаемых системным администратором задач - объединение нескольких сетей в единое пространство, для обеспечения совместной работы с общими ресурсами (site-to-site). Обычно для этих целей используется VPN, тип которого большой роли не играет. Но именно для данной задачи более предпочтительно использовать IPIP или GRE-туннели, особенно если вам требуется хорошая пропускная способность соединения. В данной статье мы расскажем об особенностях настройки и использования данного вида подключений.

Сначала коротко о протоколах. GRE (Generic Routing Encapsulation - общая инкапсуляция маршрутов) - протокол инкапсуляции, разработан компанией Cisco и предназначен для инкапсуляции пакетов сетевого уровня (L3) в IP-пакеты. IPIP (IP Encapsulation within IP - инкапсуляция IP в IP) во многом похож на GRE, но работает только с IPv4-трафиком. Наиболее популярным и используемым протоколом является GRE, его поддержка присутствует во всех современных ОС и сетевом оборудовании. Mikrotik поддерживает оба вида туннелей.

Туннели, созданные с помощью данных протоколов, не имеют никаких механизмов обеспечения безопасности (шифрование, аутентификация), поэтому в чистом виде они практически не используются. Для обеспечения нужного уровня безопасности используется IPsec, поверх которого уже разворачивается GRE или IPIP-туннель ( GRE over IPsec, IPIP over IPsec). Далее, говоря о данном типе туннелей мы будем подразумевать ввиду именно их.

Еще одна особенность указанных протоколов - они работают без сохранения состояния соединения (stateless) и понять в каком состоянии находится туннель невозможно. Мы можем только настроить обе стороны и проверить передачу данных между ними. Кроме очевидных минусов такое решение имеет и свои плюсы, GRE или IPIP-интерфейсы являются статичными и присутствуют в системе вне зависимости от состояния туннелей, что облегчает настройку маршрутизации. А состояние туннеля позволяют контролировать механизмы RouterOS, которые с заданной периодичностью умеют проверять доступность его второго конца.

Ни GRE, ни IPIP не используют порты, поэтому они не могут преодолеть NAT, это требует от обоих узлов иметь выделенные IP-адреса или находиться в одной сети. Проблема NAT частично снимается при использовании IPsec, за счет использования протокола NAT-T, но требование выделенных адресов узлов остается. Кроме того, по этой причине вы не сможете установить более одного GRE или IPIP-соединения между узлами.

Итак, подведем коротко итог: для использования GRE или IPIP-туннелей вам потребуются выделенные IP-адреса с обоих сторон и для защиты передаваемых данных обязательно использовать IPsec. Что касается оборудования, то предпочтительно использовать роутеры с аппаратной поддержкой шифрования - hEX, RB3011/4011 и все остальные модели на базе процессоров ARM. В этом случае вполне достижима пропускная способность туннеля на уровне 300-400 МБит/с. На остальных моделях роутеров (MIPSBE, SMIPS) вы получите не более 30-40 МБит/с. Подробнее об этом вы можете прочитать здесь.

Далее мы будем придерживаться следующей схемы:

mikrotik-gre-ip-ip-tunnels-001.jpg

Согласно которой у нас имеются две условные сети: A - 192.168.111.0/24, внешний IP-адрес 198.51.100.1 и B - 192.168.222.0/24, внешний адрес 203.0.113.1. Между ними мы будем поднимать GRE или IPIP-туннель с внутренними адресами 10.10.10.1 и 10.10.10.2.

Настройка GRE-туннеля

Открываем Winbox и переходим в Interfaces - Interface где добавляем новый интерфейс с типом GRE Tunnel, в открывшемся окне заполняем поля: Local Address - внешний IP-адрес этого роутера, Remote Address - внешний IP-адрес противоположного роутера, IPsec Secret - общий ключ IPsec, рекомендуется использовать длинную случайную строку из цифр, букв в обоих регистрах и спецсимволов. Также обязательно снимите флаг Allow Fast Path.

mikrotik-gre-ip-ip-tunnels-002.jpg

В терминале это можно выполнить командой:

Полностью аналогичную настройку выполняем и на втором роутере, только меняем местами Local Address и Remote Address, после чего туннель должен перейти в рабочее состояние. За отслеживание состояние туннеля отвечает параметр Keepalive, по умолчанию он предполагает десять попыток с интервалов в 10 секунд, если за это время с противоположной стороны не будет получен ответ, то туннель будет считаться неработоспособным.

Важный момент связан с настройками IPsec, RouterOS использует для туннелей настройки по умолчанию и нет возможности это переопределить, поэтому на обоих роутерах профили default в IP - IPsec - Proposals и Profiles должны иметь одинаковые настройки.

mikrotik-gre-ip-ip-tunnels-003.jpg

В противном случае вы будете получать ошибку при согласовании параметров IPsec:

mikrotik-gre-ip-ip-tunnels-004.jpg

Если все сделано правильно, то в Interfaces - Interface напротив туннеля появится флаг R - running, что означает, что туннель находится в рабочем состоянии.

Настройка IPIP-туннеля

Настройка данного вида туннеля ничем не отличается от GRE, также переходим в Interfaces - Interface и добавляем новый интерфейс с типом IP Tunnel. Указываем все те же параметры: Local Address - внешний IP-адрес этого роутера, Remote Address - внешний IP-адрес противоположного роутера, IPsec Secret - общий ключ IPsec, также снимаем флаг Allow Fast Path.

mikrotik-gre-ip-ip-tunnels-005.jpg

В терминале это же действие:

Затем дублируем настройки на второй роутер, заменяя местами Local Address и Remote Address, также учитываем все то, что было сказано выше о настройках IPsec.

Настройка маршрутизации

Итак, туннель поднят, теперь нужно пустить в него трафик между сетями. Прежде всего присвоим адреса туннельным интерфейсам. Согласно схеме со стороны роутера А это будет 10.10.10.1, а со стороны роутера B - 10.10.10.2. Переходим в IP - Addresses и добавляем новый адрес: Address - 10.10.10.1/24 - именно так, с указанием префикса (/24, что соответствует маске 255.255.255.0), в противном случае сеть у вас работать не будет. В поле Interface указываем имя интерфейса GRE или IPIP-туннеля.

mikrotik-gre-ip-ip-tunnels-006.jpg

В терминале для этого же действия выполните команду:

Где вместо interface=gre-tunnel1 укажите имя собственного туннельного интерфейса.

Аналогичные настройки следует выполнить и на втором роутере.

Теперь приступим к указанию маршрутов, для роутера A нам нужно указать маршрут к сети 192.168.222.0/24 через туннель. Переходим в IP - Routes и создаем новый маршрут. В качестве Dst. Address указываем сеть назначения - 192.168.222.0/24, в поле Gateway указываем шлюз в эту сеть - противоположный конец туннеля, который имеет адрес 10.10.10.2, после того как мы нажмем Apply в поле рядом со шлюзом появится исходящий интерфейс, в качестве которого будет выступать наш туннель.

На втором роутере делаем аналогичные настройки с учетом IP-адреса роутера и сети назначения.

После чего пробуем получить из одной сети доступ к узлу другой. Если все сделано правильно, то попытка увенчается успехом.

Дело в том, что хотя VPN – это удивительная технология, которая может помочь вам стать анонимным в Интернете и оставаться анонимной, они не идеальны для всего. Иногда вам нужны определенные вещи, чтобы не пройти через VPN. Вот где в игру вступает разделенное туннелирование. Это функция, которая позволяет вам контролировать, какие устройства в вашей сети проходят лечение VPN, а какие нет. Однако возникает вопрос – что использовать раздельное туннелирование и чего ожидать от этой технологии? Есть ли какие-то риски, и зачем вам вообще использовать сплит-туннелирование? Мы ответим на все эти вопросы и многое другое.

Допустим, у вас есть два основных способа развлечься: вы любите смотреть Netflix и играть в многопользовательские игры. Несмотря на то, что VPN позволяет вам смотреть American Netflix, и есть несколько удивительных VPN для игр, вы можете не захотеть использовать его постоянно. Некоторые многопользовательские игры достаточно открыты для доступа к своим серверам, поэтому VPN не требуется. Тем не менее, как вы можете легко включить и отключить VPN, когда вы переключаетесь между этими двумя действиями? Ну, вы можете использовать раздельное туннелирование для автоматизации этого процесса. Посмотрим, как можно использовать эту технологию.

Обычно, когда вы используете VPN, все данные вашей сети проходят через безопасный VPN-туннель. Ничто из этого не выходит из туннеля в общедоступном Интернете (поскольку это может привести к утечке данных). Очевидно, что когда вы не используете VPN, весь ваш сетевой трафик будет направляться в пункт назначения LAN или WAN, для которого он предназначен. Другими словами, ваши данные видны веб-сайтам и вашему интернет-провайдеру, когда не используется VPN. Вот почему часто говорят, что VPN повышают вашу безопасность и конфиденциальность в Интернете.

С раздельным туннелированием вы можете делать оба одновременно. Вы можете подключиться к частной сети VPN и одновременно получить доступ к ресурсам общедоступной сети. Вы сами решаете, какие данные идут куда. Однако для этого вам нужно подходящее VPN-решение, поскольку раздельное туннелирование считается расширенной функцией. Другими словами, обязательно изучите лучший VPN для этой работы.

Зачем мне сплит туннелирование?

Правда в том, что у VPN есть свои недостатки. Когда вы используете их как решение "все или ничего", вы подвергаете все свои данные этим недостаткам. Основной функцией VPN является предоставление вам безопасного и частного канала, по которому вы отправляете информацию анонимно. Однако не все, что мы делаем в Интернете, должно быть частным и безопасным. В этих случаях VPN может быть более неприятным.

Один хороший пример – онлайн-банкинг. Ваш банк уже обеспечивает безопасную среду с использованием SSL, и они уже знают, кто вы. Таким образом, доступ к веб-сайту вашего банка через VPN является излишним. Не только это, но если вы меняете свое местоположение с помощью VPN, то это может вызвать предупреждение. В конце концов, если кто-то вдруг попытается войти на ваш банковский счет из другой страны, это выглядит как подозрительное поведение.

VPN также может работать значительно хуже из-за различных накладных расходов, по сравнению с вашим открытым подключением. Это может повредить таким вещам, как потоковое видео или онлайн-игры. Тем не менее, есть способы ускорить медленные VPN, так что учтите эти полезные советы и рекомендации. И, наконец, если вы хотите использовать сетевое хранилище или сетевой принтер в вашей локальной сети с включенным VPN, вы можете обнаружить, что он не работает.

Усовершенствованные концепции сплит туннелирования

При рассмотрении раздельного туннелирования есть несколько более сложных концепций, которые могут применяться в вашей конкретной ситуации. Хотя большинство людей, скорее всего, просто воспользуются упрощенным сервисом раздельного туннелирования, предоставляемым компанией VPN, вы можете принять к сведению эти дополнительные параметры.

Обратное разделение туннелирования

Обратное сплит-туннелирование в основном именно то, что написано на жестяной банке. Это разделенное туннелирование "изнутри наружу". Обычно по умолчанию все проходит через VPN-туннель, а затем определенные устройства или приложения должны быть помечены для исключения из него. В случае туннелирования с обратным разделением по умолчанию данные не проходят через туннель, если вы не укажете, что это необходимо.

Нужно ли вам выбирать обратный разделенный туннель, зависит от вашего варианта использования, но если у вас небольшое и стабильное число приложений, которым нужен туннель, гораздо удобнее использовать инвертированный маршрут.

Сеть с двумя стеками IPv6

Если вы читали нашу статью о том, что такое IP-адрес, вы можете вспомнить, что в мире заканчиваются традиционные IP-адреса. Благодаря тому, что каждое устройство теперь имеет какое-то подключение к Интернету, у нас не будет много времени, пока мы не сможем предоставить больше уникальных адресов. Это только ограничение текущего стандарта IPv4. IPv6 собирается заменить его достаточным количеством комбинаций адресов, чтобы служить нам в обозримом будущем. Тем не менее, переход не был таким уж гладким. Хотя большинство современных сетевых аппаратных и программных средств поддерживают IPv6, на практике IPv4 все еще доминирует.

Так что теперь существует проблема, поскольку любой рост сетей будет происходить с использованием IPv6, но людям все еще нужен их контент, обслуживаемый через IPv4. Оба обычно не могут работать в одной и той же сети одновременно. Используя специальную форму раздельного туннелирования, можно использовать оба стандарта параллельно. Это довольно круто, хотя и представляет реальный интерес для сетевых администраторов. Тем не менее, вскоре мы увидим, что провайдеры VPN используют некоторую форму двойного стека для увеличения размера своей сети.

Как включить и использовать разделенное туннелирование?

Существуют различные способы достижения разделенного туннелирования в мире сетей. Когда речь идет о коммерческих VPN-сервисах, которые предлагают раздельное туннелирование в качестве опции, это почти всегда настраивается с помощью программного обеспечения VPN-клиента.

Этим клиентом может быть программный клиент для каждого устройства или иногда конфигурация, выполняемая на уровне клиента. То, как провайдеры VPN решают предлагать раздельное туннелирование, конечно, зависит от их усмотрения Они могут позволить вам выбрать конкретные приложения или типы трафика для исключения из VPN-туннеля. Также может быть возможно исключить определенные сетевые устройства из VPN.

Для исключения устройства из туннеля требуется VPN на уровне маршрутизатора. Если вы используете Windows VPN-приложение или Android-VPN-приложение, тогда вы можете контролировать только поток трафика с этого устройства в туннель. Другие компьютеры в той же сети не будут затронуты, если между ними и Интернетом не будет VPN-клиента. Другими словами, вам нужно настроить VPN на вашем маршрутизаторе. Для этого мы рекомендуем вам проверить лучшие VPN-маршрутизаторы. И если вы хотите открыть возможности своего маршрутизатора, обязательно узнайте больше о прошивке DD-WRT. Затем проверьте также лучшие маршрутизаторы DD-WRT.

Что такое лучший Split-Tunnel VPN?

Несмотря на то, насколько полезным это может быть, раздельное туннелирование все еще является довольно редкой функцией, даже если речь идет о платных VPN-услугах премиум-класса. При этом у нас есть богатый опыт тестирования десятков VPN, поэтому у нас есть несколько рекомендаций для вас. Вот лучшие VPN для раздельного туннелирования в 2019 году.

1. ExpressVPN

Без сомнения, ExpressVPN – лучший VPN, который вы найдете сейчас. Он имеет долгую историю защиты своих пользователей от различных онлайн-опасностей и обладает множеством инновационных функций. Совсем недавно в этой VPN была внедрена технология TrustedServer, основанная на принципах конфиденциальности, проверены ее политики и принято решение об увеличении лимита одновременных подключений до пяти. Чтобы узнать больше о там и других функциях, вот наш обзор ExpressVPN.

2. CyberGhost VPN

Далее у нас есть другое способное решение VPN. CyberGhost VPN – это высоконадежное VPN-решение с великолепно разработанным интерфейсом. Он доступен на многих платформах, предлагая серию простых в установке собственных приложений. Чтобы узнать больше, вот наш обзор CyberGhost VPN.

3. PureVPN

PureVPN – это весьма уважаемое VPN-решение, которое уже давно предлагает раздельное туннелирование. Он базируется в Гонконге и известен своими жесткими мерами против VPN, которые могут бороться даже с Великим брандмауэром Китая. Вы также можете рассчитывать на тысячи серверов в более чем 140 странах. Если вам нужна дополнительная информация, прочитайте наш обзор PureVPN.

PureVPN в настоящее время предлагает сплит-туннелирование на Windows и Android. На вашем компьютере откройте этот VPN, а затем посетите егонастройки‘Панель (скрыта за верхним правым местом значок зубчатого колеса). Выберите 'Бета ОсобенностиAnd слева и включите эту опцию с помощью переключение переключателя в положение ON (на правой стороне). Тогда выбирай 'Сплит туннелированиеActivate, активируйте его, а затем выберите ‘Управление разделенным туннелированием«. Наконец, добавьте приложения, которые вы хотите защитить с помощью VPN. Любые приложения, которые вы не добавили в этот список, будут использовать ваше обычное веб-соединение.

Есть ли риски с разделенным туннелированием?

Самый большой риск использования раздельного туннелирования заключается в том, что вы испортили настройки и случайно отправили трафик, который должен был быть закрытым, прямо в общедоступный Интернет. Очевидно, что такая ошибка может быть результатом преднамеренной настройки конфигурации. Такие функции, как отключение, не помогут, поскольку ваш VPN будет думать, что вы хотите, чтобы эти данные были общедоступными.

Вы также должны знать, что многие VPN поставляются с той или иной формой инструментов борьбы с вредоносным ПО. Кроме того, могут быть реализованы функции блокировки рекламы и трекера. Однако это относится только к данным, защищенным VPN. Итак, если вы открываете свое устройство в общедоступном Интернете без какой-либо защиты, обязательно установите инструменты, необходимые для защиты вашего устройства от вредоносных программ и других онлайн-угроз.

Это означает, что если вы решите использовать раздельное туннелирование, вам нужно быть очень осторожным. Убедитесь, что правильный трафик исключен и включен. Это прежде, чем вы сделаете что-то чувствительное с вашей связью.

Есть ли альтернатива сплит туннелированию?

Представьте себе теннисный мяч, который ударяется о стену. В привычной нам ситуации он будет от этой стены отскакивать. Однако, из-за странной природы квантового мира технически существует статистическая вероятность того, что мячик окажется по другую сторону преграды или даже в самой стене.

Здесь мы не говорим о том, что мяч пройдет сквозь стену, по крайней мере, это не совсем так.

Что может произойти на макроуровне?

Если бы произошел странный случай квантового туннелирования на макроуровне, то мяч бы мог внезапно исчезнуть, ​​когда он приблизится к стене, а затем сразу же появиться по другую сторону, при этом сама стена и мяч будут находиться в своих идеальных состояниях. Безусловно, шансов, что это случиться когда-либо крайне мало. Тем не менее, статистическая вероятность этого существует и теоретически это может произойти.

Как видно на рисунке, шансы на то, что электрон окажется в центре облака больше, чем на периферии. Однако, хотя шансы невероятно малы, существует статистическая вероятность того, что электрон может быть обнаружен и на краю этого облака. Здесь вещи начинают становиться странными.

Квантовое туннелирование - это способность частицы, такой как электрон, мгновенно проходить через барьер. Если существует барьер с более высокой энергией, чем у электрона, и электрон приближается к нему, мы обычно считаем, что частица не может его преодолеть. На самом деле, в большинстве случаев так оно и есть. Тем не менее, каждый электрон время от времени ведет себя совершенно неожиданно. В редких случаях электрон просто появляется на другой стороне барьера.

Как такое возможно?

Из-за вероятностной природы электронов, в тот момент, когда электрон приближается к барьеру, в облаке вероятности все еще присутствует небольшая вероятность того, что электрон может быть обнаружен на другой стороне барьера.

Когда этот маленький шанс реализуется и электрон оказывается по другую сторону, то это значит, что произошло квантовое туннелирование. Технически, электрон не проходит сквозь барьер, потому что, как ни странно, в момент квантового туннелирования времени для электрона не существует, это происходит мгновенно. Таким образом электроны могут мгновенно преодолевать барьеры более высокой энергии.

Звезды и квантовое туннелирование

Хотя это может звучать как очень странное и даже невозможное событие, на самом деле это важно для жизни на Земле, какой мы ее знаем. Солнце и все известные звезды способны сиять благодаря квантовому туннелированию.

В результате ядерного синтеза на Солнце выделяется свет и тепло. Два атомных ядра, оба положительно заряженных, сталкиваются, образуя новый элемент, и в этом процессе выделяются фотоны. Проблема, однако, так как оба ядра заряжены положительно, они отталкиваются друг от друга, так же, как одинаковые полюсы магнитов магнитов. Это означает, что существует энергетический барьер, который ядра должны преодолеть, чтобы слиться. Однако, как показывает математика, ядра на Солнце не обладают достаточной энергией, чтобы преодолеть этот барьер. Единственный способ сделать это возможным - тот самый редкий случай квантового туннелирования.

Как ни странно, квантовое туннелирование также может иметь и вредные последствия. Согласно квантовой биологии, рассматривающей живые системы с позиции квантовой теории, мутации ДНК могут происходить в процессе, называемом протонным туннелированием

Если ДНК реплицируется во время этого квантового туннелирования, то может произойти мутация. Существуют и другие случаи мутаций, вызванных квантовым туннелированием, которые, как считают некоторые ученые, вызывают рак. Было даже предположение, что из-за этого живые существа стареют.

Странно думать, что то, что позволяет Солнцу сиять и обеспечивать жизнь на Земле, также может быть причиной того, что все в природе стареет, деградирует и умирает. Однако без квантового туннелирования жизнь, какой мы ее знаем, была бы невозможна.

Читайте также: