Что такое VPN passthrough: назначение, как настроить.
удаленный доступ

Что такое VPN passthrough, как настроить

Расскажем  что такое vpn pass through, как настроить на роутере vpn-сервер  на роутере для транзита  vpn соединений.

Что такое VPN passthrough?

VPN passthrough позволяет любым устройствам, подключенным к роутеру, устанавливать исходящие VPN-соединения. Другими словами, она пропускает VPN трафик, потому что старые VPN протоколы, такие как PPTP и LT2P (устаревшая версия IPsec), не распознают и блокируют его.

Что такое VPN passthrough?

Даже если на вашем роутере есть VPN passthrough, это не то же самое, что и VPN-роутер. Первое – это функция, которая разрешает трафик; она сама по себе ничего больше не делает. А VPN-роутер может быть как аппаратным устройством с предустановленной VPN, так и домашним роутером с настроенным VPN клиентом – он шифрует трафик и защищает все устройства, подключенные к вашей сети.

Как работает VPN passthrough?

включение VPN passthrough

Чтобы понять, почему вам может понадобиться или не понадобиться VPN passthrough, необходимо знать, как он работает. Все начинается с NAT – инструмента, который поставляется в стандартной комплектации со многими роутерами, и который может препятствовать вашему VPN соединению.

NAT находится между вашей локальной и внешней сетью. Он фильтрует трафик и контролирует, что вы получаете только ту информацию, которую запрашиваете, тем самым защищая вас от вирусов и хакеров. Он также решает огромную проблему, с которой мы все сталкиваемся при использовании IPv4 – отсутствие IP-адресов.
NAT знает частные IP-адреса всех ваших устройств, подключенных к роутеру, которые ему необходимы, чтобы отправлять вам запрошенную информацию.
Но для того, чтобы сделать свою работу правильно, NAT нуждается в определенной информации о трафике, который исходит и входит через ваш роутер. Проблема возникает, когда устаревшие протоколы VPN пытаются пробиться через него. То, как он шифрует ваше соединение, не дает NAT достаточной информации для выполнения своей работы, и он блокирует эти соединения. Именно здесь требуется помощь VPN passthrough.

Кому нужен VPN passthrough?

Большинство домашних роутеров уже имеют встроенную VPN защиту. Но не волнуйтесь, если у вас нет VPN passthrough. Ваш роутер нуждается в нем только в том случае, если вы используете VPN, поддерживающий IPsec или PPTP – устаревшие и ненадежные протоколы. Современные VPN используют более быстрые и безопасные протоколы – PPTP и L2TP, которые туннелируют через NAT, поэтому ваш роутер вообще не нуждается в passthrough. Все, что вам нужно для безопасного соединения – это просто подключиться к VPN.

Недостатки VPN на роутере

Серьезным недостатком VPN на роутере может являться существенное падение скорости соединения. Такой эффект будет проявляться вне зависимости от размера скачиваемого файла, провайдера, браузера или иных особенностях оборудования. Менее всего снижение скорости будет заметно на маршрутизаторах с мощным процессором, а также при настройке оборудования на менее высокий уровень шифрования данных.

Второй недостаток VPN на роутере плавно вытекает из первого. Если владелец маршрутизатора желает настроить VPN с минимальными просадками по скорости соединения, то потребуется приобретать более дорогое оборудование. Стоимость мощных роутеров может составлять десятки тысяч рублей.
Роутер1

Существенным недостатком VPN на роутере является невозможность доступа к контенту определенных государств. Например, если перенаправление настроено через страны ЕС, то некоторые интернет-ресурсы, работающее только в США, будут недоступны.

Настройка VPN на роутере может представлять операцию повышенной сложности для людей технически неподготовленных. В такой ситуации лучше заказать услугу настройки маршрутизатора у компьютерных мастеров за умеренную плату.

Некоторые модели роутеров не поддерживают возможность настройки VPN. Такая «глыба преткновения» на пути организации перенаправления на маршрутизаторе не позволит выполнить эту операцию. Из этого правила есть небольшое исключение: если роутер можно перепрошить на операционную систему с поддержкой VPN, то его можно использовать для перенаправления трафика.

Если операционная система роутера имеет уязвимости, то настройка VPN не решит проблему безопасного и скрытного посещения Интернета. Наоборот, в результате внешнего вторжения может быть установлено местонахождение компьютера, а также организованы хакерские атаки с его использованием.

Настройка VPN на роутере приведет к защите только самого устройства. Другие цифровые приборы не будут защищены от взлома.
Взлом

Несмотря на наличие недостатков, необходимость настройки VPN на роутере не оставляет другого выбора, как прибегнуть к этому способу скрытия собственного местоположения. Благодаря правильно выполненной работе можно будет подключать к одной сети перенаправления несколько устройств. Кроме того, достаточно будет настроить систему один раз, чтобы соединение было всегда активно. В общем, положительных качеств у такого способа настройки маршрутизатора немало.

Настройка VPN на роутере

Чтобы оборудование работало без сбоев, а скорость не слишком уменьшалась после настройки VPN на роутере, необходимо настроить оборудование без ошибок. Для идеальной настройки лучше разбить весь объем работ на отдельные сегменты, которые следует выполнять в строгой последовательности.

Задача №1. Выбрать VPN-сервис

Для настройки соединения с сетью Интернет под другим IP-адресом понадобится предварительно зарегистрироваться на одном из VPN-сервисов. Сайтов, предлагающих такие услуги, довольно много. Существуют как платные, так и бесплатные варианты. Различаются сервисы не только по цене, но и по качеству. Убедиться в надежности и наличии высокой скорости соединения можно опытным путем, но не лишним будет почитать отзывы о том или ином сервисе, предоставляющем подмену IP-адреса. Кроме того, наличие большого выбора IP-адресов по различным странам будет являться хорошим критерием выбора. Также имеют значения наличие качественного шифрования трафика и большого количества рабочих серверов.
Сервер VPN

После регистрации на одном из сайтов необходимо получить логин и пароль, которые будут использоваться для подключения роутера к системе перенаправления трафика.

Задача №2. Определиться с типом протокола

Маршрутизаторы могут поддерживать несколько протоколов передачи информации. Например:

  • OpenVPN.
  • PPTP.
  • L2TP.

Open VPN находится в числе приоритетных подключений, ведь использование этого протока позволит существенно повысить безопасность интернет-соединения. К сожалению, обратная сторона медали высокой надежности — замедленная работа слабых маршрутизаторов. Если используется старое оборудование с малопроизводительным процессором, то, скорее всего, потребуется подключиться к VPN по протоколу PPTP или L2TP.

Задача №3. Выбор между TCP и UDP

Протоколы транспортного уровня TCP и UDP несколько отличаются друг от друга по своему назначению, поэтому в зависимости от поставленных задач, которые будет решать VPN-соединение, следует отдать предпочтение той или иной настройке. Если Интернет нужен для стандартного серфинга, то вполне достаточно TCP-соединения. В ситуации, когда компьютер или мобильное устройство будет использоваться для стриминга или компьютерных игр, рекомендуется подключиться, используя протокол UDP.

Задача №4. Непосредственная настройка маршрутизатора

Когда все подготовительные этапы будут выполнены, можно приступить к непосредственной настройке оборудования. Пошагово весь процесс можно описать следующим образом:

  1. Установка DNS и DHCP, и IP-адреса.
    WAN
  2. Выбрать величину пропускной способности.
    Контроль пропускной способности
  3. Установить тип шифрования.
    Защита беспроводного режима

Проделав эту последовательность действий, можно на любом маршрутизаторе, поддерживающем подключение по VPN, настроить перенаправление интернет-трафика.

Некоторые современные модели позволяют настроить собственный VPN-сервер. Например, на устройствах TP-Link такую операцию можно выполнить следующим образом:

  1. Зайти в веб-интерфейс маршрутизатора.
  2. Нажать «Дополнительные настройки».
  3. Открыть раздел «VPN сервер».
  4. Нажать «PPTP VPN».
  5. Поставить галочку напротив «Запустить VPN сервер».

Следует убедиться, что провайдер предоставляет для допуска в Интернет статический IP-адрес. В противном случае VPN-сервер может не работать. Если АйПи адрес динамический, то следует приобрести у поставщика Интернета дополнительную услугу, чтобы можно было в любой момент времени иметь доступ к собственной системе перенаправления интернет-трафика.

Роутеры с предустановленным VPN

Если перед покупкой маршрутизатора известно о том, что устройство будет использоваться в режиме перенаправления трафика, то следует поискать роутеры с предустановленным VPN. В таких устройствах уже настроена функция VPN на определенный сервер, поэтому следует тщательно изучить возможности сервера, к которому будет подключаться прибор.
Роутер2

Благодаря использованию ВПН, предустановленного в роутере, можно избежать длительной процедуры настройки, ведь для активации функции достаточно будет нажать специальную кнопку на корпусе изделия.

Существенным недостатком роутеров с предустановленным VPN является стоимость, которая может достигать более 500 долларов США. Кроме покупки более дорогого устройства необходимо будет также оплатить услугу VPN, которая опять же может обойтись недешево.

Как переключаться между сервисами

Если один VPN-сервис по тем или иным причинам не подходит, то для переключения устройства потребуется внести изменения в настройки.
VPN-клиент

В большинстве случаев для работы с другими поставщиками услуг этого типа достаточно сменить IP-адрес. Некоторые модели маршрутизаторов, например Tomato USB, позволяют сохранять настройки двух различных сервисов, между которыми можно легко переключаться, когда это необходимо.

Что делать, если роутер не поддерживает функцию VPN

Если на роутере нельзя настроить VPN, то не обязательно приобретать новую модель с возможностью настройки этой функции. Многие устройства можно перепрошить, используя специальное программное обеспечение. Чтобы убедиться в возможности использовать маршрутизатор с модернизированной операционной системой, необходимо перейти на официальные сайты прошивок и попытаться найти свое устройство в списке допустимых моделей. Например, эти сайты: https://wiki.dd-wrt.com/wiki/index.php/Supported_Devices и  https://advancedtomato.com/downloads.
dd-wrt

Если прошивка с VPN может быть установлена на роутер, то дальнейшие действия следует осуществлять в такой последовательности:

  1. Скачать прошивку с официального сайта компании.
  2. Сделать сброс настроек на роутере до заводского состояния.
  3. Войти в панель управления роутера через любой браузер. Адрес и информация для входа указывается на наклейке маршрутизатора снизу.
  4. В панели управления следует выбрать опцию обновления «Upgrade» или «Upload Firmware».
  5. Открыв эту вкладку, необходимо загрузить файл установки — ранее загруженный с сайта производителя файл прошивки.
  6. Когда файл будет загружен, следует подождать 5 минут и нажать «Продолжить».
  7. Снова сделать полный сброс настроек на роутере.

Если все было сделано правильно, то после следующего входа в панель управления функционал маршрутизатора будет расширен опцией VPN.

Эта инструкция подходит практически для всех моделей, на которые можно установить модернизированную прошивку. Если же роутер не поддерживает такую возможность, то для того чтобы воспользоваться функцией перенаправления трафика, потребуется приобрести новое устройство.

Как отключить VPN на роутере

Если необходимо отключить VPN, то практически всегда это можно сделать в панели управления устройством. Каких-либо специальных настроек для этого не понадобится, достаточно будет снять галочку с функции перенаправления трафика. На роутерах с предустановленной системой может быть установлена кнопка, нажатие на которую позволит очень быстро осуществить включение или выключение функции.

Как правильно выбрать роутер для работы с VPN

Если маршрутизатор будет часто работать в режиме перенаправления трафика, то, при отсутствии достаточного количества денежных средств на приобретение модели с предустановленным VPN, рекомендуется выбирать устройство по следующему принципу:

  • Рекомендуемая поддерживаемая прошивка: Tomato или DD-WRT.
  • Если роутер будет подключаться преимущественно по протоколу Open VPN, то рекомендуется приобретать модель роутера с одноядерным процессором. Open VPN является однопоточным протоколом, который не будет перераспределять нагрузку даже при наличии технической возможности у устройства.
  • Если приобретается устройство для работы в режиме шифрования данных, то лучше обратить внимание на модели, процессор которых поддерживает AES-NI.
  • Если скорость передачи данных очень важна, то следует приобретать устройство, процессор которого имеет частоту не менее 800 МГц.
    Роутер3

Как правило, чем больше мощность процессора, тем лучше. На таком устройстве падение скорости передачи будет минимальным, даже при использовании сложного шифрования.

Возможные проблемы и способы их устранения

В процессе настройки и эксплуатации маршрутизатора в режиме перенаправления трафика могут возникнуть непредвиденные сложности. Далее будут перечислены наиболее распространенные ошибки при настройке:

  • При отсутствии функции Passthrough могут возникать серьезные проблемы при подключении к VPN.
  • Если используются одновременно 2 маршрутизатора с VPN, то могут наблюдаться проблемы в работе устройств, связанные с двойной настройкой NAT.
  • Если необходимо настроить VPN для роутера модели TP-Link, то следует знать о том, что на таких устройствах особенно сильно проявляется падение скорости при использовании протокола OpenVPN.
  • Фильтр IP-пакетов на роутере может стать причиной некачественного соединения между клиентом и сервером.
  • При организации локальной VPN-службы могут возникать серьезные технические проблемы при подключении устройства к некоторым поставщикам Интернета. Например, серьезные сложности могут наблюдаться у Ростелекома. Для осуществления правильной настройки рекомендуется обращаться в службу поддержки компании. Только таким образом можно избежать напрасной траты большого количества времени на попытки подключиться к системе самостоятельно.

Предварительные требования

Перед началом работы убедитесь, что используются следующие виртуальные сети и разрешения:

Виртуальные сети

Виртуальная сеть Модель развертывания шлюз виртуальной сети;

Hub-RM Resource Manager Да
Spoke-RM Resource Manager Нет
Spoke-Classic Классический Нет

Разрешения

У учетных записей, используемых для создания пиринга между виртуальными сетями, должны быть необходимые роли или разрешения. В приведенном ниже примере при создании пиринга между двумя виртуальными сетями Hub-RM и Spoke-Classic вашей учетной записи должны быть назначены следующие роли или разрешения для каждой виртуальной сети:

Виртуальная сеть Модель развертывания Роль Разрешения

Hub-RM Resource Manager Участник сети Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write
Классический Участник классической сети Недоступно
Spoke-Classic Resource Manager Участник сети Microsoft.Network/virtualNetworks/peer
Классический Участник классической сети Microsoft.ClassicNetwork/virtualNetworks/peer

Подробнее о встроенных ролях и присвоении разрешений, определенных для настраиваемых ролей (только для Resource Manager).

Одна и та же модель развертывания

В этом сценарии для виртуальных сетей используется модель развертывания Resource Manager. Выполните указанные ниже шаги, чтобы создать или обновить пиринг между виртуальными сетями для включения транзита через шлюз.

Добавление пиринга и включение транзита

  1. На портале Azure создайте или обновите пиринг между виртуальными сетями (от Hub-RM). Перейдите к виртуальной сети Hub-RM. Выберите Пиринги, а затем — + Добавить, чтобы открыть страницу Добавить пиринг.
  2. На странице Добавить пиринг задайте соответствующие значения для элемента This virtual network (Эта виртуальная сеть).
    • Имя пиринговой связи — присвойте связи имя. Пример: HubRMToSpokeRM.
    • Трафик в удаленную виртуальную сеть: Разрешить.
    • Трафик, перенаправленный из удаленной виртуальной сети: Разрешить.
    • Шлюз виртуальной сети: Use this virtual network’s gateway (Использовать шлюз виртуальной сети).
  3. На той же странице укажите соответствующие значения для элемента Удаленная виртуальная сеть.
    • Имя пиринговой связи — присвойте связи имя. Пример: SpokeRMtoHubRM.
    • Модель развертывания: Resource Manager.
    • Виртуальная сеть: Spoke-RM.
    • Трафик в удаленную виртуальную сеть: Разрешить.
    • Трафик, перенаправленный из удаленной виртуальной сети: Разрешить.
    • Шлюз виртуальной сети: Use the remote virtual network’s gateway (Использование шлюза удаленной виртуальной сети).
  4. Для создания пиринга нажмите кнопку Добавить.
  5. Убедитесь, что состояние пиринга для обеих виртуальных сетей следующее: Подключено.

Изменение имеющегося пиринга для транзита

Если пиринг уже создан, его можно изменить для транзита.

  1. Перейдите к виртуальной сети. Выберите Пиринги, а затем выберите пиринг, который требуется изменить.
  2. Обновите пиринг между виртуальными сетями.
    • Трафик в удаленную виртуальную сеть: Разрешить.
    • Трафик, перенаправленный в виртуальную сеть: Разрешить.
    • Шлюз виртуальной сети: Use remote virtual network’s gateway (Использование шлюза удаленной виртуальной сети).
  3. Сохраните параметры пиринга.

Пример для PowerShell

Вы также можете использовать PowerShell для создания или обновления пиринга с помощью приведенного выше примера. Замените переменные именами ваших виртуальных сетей и групп ресурсов.

$SpokeRG = «SpokeRG1» $SpokeRM = «Spoke-RM» $HubRG = «HubRG1» $HubRM = «Hub-RM» $spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG $hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG Add-AzVirtualNetworkPeering ` -Name SpokeRMtoHubRM ` -VirtualNetwork $spokermvnet ` -RemoteVirtualNetworkId $hubrmvnet.Id ` -UseRemoteGateways Add-AzVirtualNetworkPeering ` -Name HubRMToSpokeRM ` -VirtualNetwork $hubrmvnet ` -RemoteVirtualNetworkId $spokermvnet.Id ` -AllowGatewayTransit

Разные модели развертывания

В этой конфигурации периферийная виртуальная сеть Spoke-Classic используется в рамках классической модели развертывания, а виртуальная сеть концентратора Hub-RM — в рамках модели развертывания Resource Manager. При настройке транзита между моделями развертывания шлюз виртуальной сети должен быть настроен для виртуальной сети Resource Manager, а не для классической виртуальной сети.

Для этой конфигурации необходимо настроить только виртуальную сеть Hub-RM. Вам не нужно настраивать что-либо в виртуальной сети Spoke-Classic.

  1. На портале Azure перейдите в виртуальную сеть Hub-RM, выберите Пиринги, а затем щелкните + Добавить.
  2. На странице Добавить пиринг задайте указанные ниже значения.
    • Имя пиринговой связи — присвойте связи имя. Пример: HubRMToClassic.
    • Трафик в удаленную виртуальную сеть: Разрешить.
    • Трафик, перенаправленный из удаленной виртуальной сети: Разрешить.
    • Шлюз виртуальной сети: Use this virtual network’s gateway (Использовать шлюз виртуальной сети).
    • Удаленная виртуальная сеть: Классическая.
  3. Убедитесь, что подписка правильная, а затем выберите виртуальную сеть из раскрывающегося списка.
  4. Нажмите кнопку Добавить, чтобы добавить пиринг.
  5. Проверьте, чтобы состояние пиринга для виртуальной сети Hub-RM было следующим: Подключено.

Для этой конфигурации вам не нужно ничего настраивать в периферийной виртуальной сети. После того как состояние изменится на Подключено, периферийная виртуальная сеть сможет использовать подключение через VPN-шлюз в виртуальной сети концентратора.

Пример для PowerShell

Вы также можете использовать PowerShell для создания или обновления пиринга с помощью приведенного выше примера. Замените переменные и идентификатор подписки на значения вашей виртуальной сети, групп ресурсов и подписки. Вам нужно всего лишь создать пиринг между виртуальными сетями в виртуальной сети концентратора.

$HubRG = «HubRG1» $HubRM = «Hub-RM» $hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG Add-AzVirtualNetworkPeering ` -Name HubRMToClassic ` -VirtualNetwork $hubrmvnet ` -RemoteVirtualNetworkId «/subscriptions//resourceGroups/Default-Networking/providers/Microsoft.ClassicNetwork/virtualNetworks/Spoke-Classic» ` -AllowGatewayTransit

Дальнейшие действия

  • Прежде чем создавать пиринг между виртуальными сетями для рабочей среды, ознакомьтесь с разделами Requirements and constraints (Требования и ограничения) и Create a peering (Создание пиринга).
  • Сведения о создании звездообразной топологии сети с пирингом между виртуальными сетями и транзитом шлюзов см. в этом разделе.
  • Руководство. Подключение виртуальных сетей с помощью пиринга и портала Azure.
  • Создание пиринга между виртуальными сетями с разными моделями развертывания.

Что такое VPN-протокол?

VPN-протокол — программный фундамент, на базе которого строится любой VPN-сервис. В нем описывается формат организации подключения, обмена данными внутри частной виртуальной сети и другие аспекты работы ПО.

От выбора протокола зависит, какие задачи будут с помощью него решены, насколько эффективно они будут решаться, насколько это будет безопасно, быстро и т.п. Существует несколько технологий организации VPN, поэтому возникают некоторые разногласия при выборе соответствующих сервисов и при настройке виртуальных частных сетей.

На какие критерии оценки VPN-протоколов стоит обратить внимание

У каждого протокола свой набор характеристик, исходя из которых нужно выбирать для себя подходящий. Среди них:

  • Поддерживаемые платформы — протоколы могут быть достаточно специфичны и функционировать исключительно на одной-двух операционных системах. Другие же поддерживают сразу все доступные ОС.
  • Поддерживаемые сети — не все протоколы работают в идентичных сетях. Некоторые VPN-сервисы предлагают свои услуги только в конкретных странах ввиду технологических ограничений, введенных, в том числе, государственными органами.
  • Скорость работы — тоже зависит от архитектуры протокола. Есть те, что быстрее передают данные на мобильных устройствах. Есть те, что показывают пиковую производительность только в масштабах больших корпоративных сетей.
  • Безопасность — в протоколах по-разному реализовано шифрование и другие механизмы обеспечения безопасности данных. Поэтому, в зависимости от поставленных задач, надо выбирать технологию, наименее подверженную распространенным для нее атакам.

Теперь от общего описания форматов и характеристик перейдем к конкретным технологическим решениям и к их особенностям.

Кратко о существующих протоколах

Для начала кратко пробежимся по протоколам, которые будем рассматривать в статье.

  • OpenVPN — сбалансированный вариант. Он быстрее остальных и гораздо меньше подвержен атакам со стороны злоумышленников. Топовые VPN-сервисы базируют свои продукты на основе этого протокола.
  • L2TP/IPsec во многом похож на OpenVPN. В меру быстрый, в меру безопасный. Но это «в меру» как раз все портит. Это не значит, что его стоит бояться или он как-то серьезно подвергает опасности вашу конфиденциальность в сети. Для некритичных задач его хватит с головой. Но надо иметь в виду, что этот протокол уступает по безопасности OpenVPN. В текущей ситуации нужен как альтернатива на случай, когда более подходящий протокол недоступен.
  • IKEv2/IPsec — альтернатива вышеперечисленным протоколам, адаптированная под работу на мобильных устройствах. Ее преимущество заключается в возможности быстро переподключиться к сети после потери сигнала. Такое может происходить на нулевых этажах торговых центров, в туннелях, метро и других местах с недостаточной «проницаемостью». IKEv2 скоростной, но работает не на всех платформах и сложен в настройке.
  • SSTP разработан компанией Microsoft и работает только с ее программным обеспечением. Настроить его в сторонних операционных системах чересчур сложно, да и не все хотят иметь дело с технологическими корпорациями в таком вопросе, как VPN. Если же причастность Microsoft не смущает, и на компьютере установлена Windows, то это будет сносным выбором.
  • PPTP — еще один продукт. Устаревший протокол, который больше не используется глобально. Пригодится только за отсутствием альтернатив.
  • WireGuard — перспективная новинка, во много схожая с OpenVPN, но обгоняющая его по всем параметрам (от скорости передачи файлов до изощренности методов шифрования).
  • SoftEther — еще один современный стандарт VPN. Быстрый, отказоустойчивый, обеспечивающий хорошее шифрование.

Далее разберем каждый протокол подробнее. Ознакомимся с принципами работы, степенью защищенности, производительностью и другими аспектами VPN-технологий.

OpenVPN

Золотой стандарт среди действующих VPN-протоколов. Хорош сразу по всем фронтам:

  • Он универсален. Его можно использовать в разных целях, независимо от того, нужен ли вам виртуальный «офис», защищенный от сторонних глаз, или безопасный туннель для подключения к заблокированным ресурсам.
  • OpenVPN создан независимой командой разработчиков из OpenVPN Technologies. Главное преимущество протокола — открытый исходный код. Ему он обязан дикой популярностью. Opensource-сущность помогла этой технологии пройти десятки независимых аудитов от фирм, занимающихся безопасностью. Этому помогли кастомные методы шифрования, поддержка SSL и алгоритмов AES-256-GCM.
  • Также он обеспечивает скорость передачи данных выше, чем у конкурентов. Многие сервисы, базирующие свои VPN-серверы на базе OpenVPN, обеспечивают передачу зашифрованного контента на скорости до 2000 Мбит в секунду.
  • В работе OpenVPN задействуются технологии TCP и UDP, благодаря чему стандарт можно задействовать в качестве альтернативы для других протоколов, когда описываемый стандарт заблокирован на стороне провайдера. А еще он работает стабильно и реже остальных теряет соединение с интернетом (в этом тоже помогает поддержка TCP).

Логотип OpenVPN

Для настройки и запуска OpenVPN нужен клиент, то есть программное обеспечение, адаптированное под работу с протоколом. Использовать встроенные системные инструменты не получится. Благо клиентских приложений, поддерживающих эту технологию, хватает. И они доступны на Windows, macOS, Linux, iOS и Android. В зависимости от количества подключений OpenVPN может быть бесплатным, но бизнес-клиентам придется заплатить.

Протокол находится в активной разработке, постоянно обрастает обновленными стандартами защиты и повышениями производительности.

PPTP

Point-to-Point Tunneling Protocol — старая технология, которая давно перешла в разряд винтажных и сейчас практически не используется. Была создана компанией Microsoft в 1999 году.

Протокол устанавливает стандартное двухканальное соединения типа PPP между устройствами, а потом передает данные через инкапсуляцию по методу Generic Routing Encapsulation. Параллельно с этим действует соединение по TCP-порту. Первое используется непосредственно для передачи информации, второе нужно для управления подключением.

PPTP сложен в настройке и в управлении. К примеру, из-за необходимости поддерживать сразу две сетевые сессии с трудом получается перенаправлять сигнал на сетевой экран. Из-за спецификаций GRE и других компонентов протокола страдает безопасность.

Несмотря на наличие поддержки MS-CHAPv2 и EAP-TLS для авторизации пользователей, PPTP остается небезопасным VPN-протоколом, не рекомендуемым к использованию для решения серьезных задач. Подобрать ключ и получить доступ к частной сети можно примерно за 23 часа с помощью профильного онлайн-сервиса.

В свое время эта технология обрела успех благодаря поддержке со стороны Microsoft и внедрению PPTP в Windows по умолчанию. Для настройки не требовались сторонние клиенты и программные инструменты, но в связи с появлением более надежных альтернатив в духе OpenVPN, популярность PPTP начала снижаться. Сейчас даже Microsoft рекомендует использовать продукты конкурентов и прекратить эксплуатировать PPTP ввиду его незащищенности и нестабильности.

Его все еще можно использовать для снятия региональных ограничений, так как обычно в этих случаях не приходится скрывать трафик и переживать за кражу личных данных.

SSTP

Secure Socket Tunneling Protocol — модифицированная версия PPTP. Эдакая надстройка старого протокола, которая должна была стать не только духовным продолжением ранее существовавшей технологии, но и исправлением всех ошибок, допущенных в «предыдущей версии».

Сколько-то заметной популярности протокол не сыскал. Доля на рынке VPN у SSTP такая же скромная, как и у предыдущей итерации протокола Microsoft. Но у него есть преимущество в виде отсутствия критических проблем с безопасностью. Таких зияющих дыр в нем нет и перехватить трафик гораздо сложнее.

Помогает SSL-шифрование. При подключении к SSTP вся информация отправляется через TCP-порт 443. Такой подход делает его полезным при необходимости создавать безопасные подключения со странами, где большая часть VPN-сервисов заблокирована или запрещена законом.

Логотип SSTP VPN-протокола

Многочисленные тестирования показали, что SSTP может передавать данные на высокой скорости (если канал свободен) и быстро восстанавливать соединение, если то неожиданно оборвалось. По этим показателям протокол стремится к OpenVPN, но не дотягивает ввиду некоторых ограничений технологии.

Для нормальной работы SSTP требуется свободный канал данных. Как только на нем появляется нагрузка (даже незначительная), скорость работы протокола резко падает и превращает используемый VPN-сервис в настоящую помеху.

Secure Socket Tunneling Protocol доступен на операционных системах Windows, Linux и BSD, но поддерживается ограниченным количеством сервисов. Их тяжело найти, а еще они зачастую обходятся дороже альтернатив. Отсюда и скромная аудитория SSTP, которая и не планирует расти в ближайшем будущем из-за продвинутости конкурентов.

IPsec

Internet Protocol Security представляет собой не одну технологию, а набор протоколов. Каждый из них помогает обеспечить безопасность информации, передаваемой по IP-сети.  По сути, они не создавались для организации VPN-соединений, это одно из нескольких применений.

Прелесть IPsec заключается в его упрощенной настройке. Благодаря своей архитектуре и работе на сетевом уровне не возникает потребности в подключении сторонних клиентов. VPN на базе Internet Protocol Security можно «поднять» во всех операционных системах встроенными средствами – через параметры ОС. Это его главное преимущество над OpenVPN.

Безопасность IPsec достигается за счет работы двух механизмов.

  1. Authentication Header – ставит цифровую подпись каждой единице данных, передаваемой через VPN-соединение.
  2. Encapsulating Security Protocol – защищает целостность передаваемой информации и конфиденциальность пользователей протокола.

IPsec используется в тандеме с другими техническими решениями. Зачастую речь идет о комбинировании технологий IPsec и L2TP или об IPsec + IKEv2.

IPsec/L2TP

Принцип работы L2TP VPN-протокола
L2TP задумывалась как альтернатива PPTP. Проблема была в отсутствии механизмов шифрования данных и методов авторизации. Поэтому вместе с ней всегда подключали IPsec. Таким образом удавалось задействовать AES-алгоритмы шифровки данных. Из недостатков метода можно выделить сложности при работе с некоторыми брандмауэрами, они частенько блокируют соединения по порту 500. А еще он медленный, потому что дважды за сессию инкапсулирует передаваемую информацию. Другие протоколы так не делают.

IPsec/IKEv2

Разработан командой разработчиков из Microsoft и Cisco, но имеет несколько вариаций с открытым исходным кодом, написанных независимыми программистами. IKEv2 хорош наличием поддержки Mobility and Multi-homing Protocol. Это делает его устойчивым к смене сетей, это поможет владельцам смартфонам оставаться на связи даже при выходе в сеть через VPN. Подключение к VPN-серверу не обрывается при смене роутера, к которому подключен гаджет или смене точки доступа во время поездок.

Сравнение IKEv2 с более старыми протоколами

IKEv2 поддерживает методы шифрования AES, Blowfish и Camellia. В этом плане он не отличается от L2TP. Так что уровень защищенности от атак извне у них идентичный. Также он потребляет меньше ресурсов, чем условный OpenVPN, и от этого демонстрирует более высокую скорость передачи данных. По умолчанию поддерживается в Windows 7 и новее, в macOS Lion и новее, в iOS и в ряде смартфонов на базе Android.

WireGuard

Новое поколение VPN-протоколов. Разработчики называют его ускоренной, надежной и простой в управлении альтернативой OpenVPN и другим используемым технологиям. Какого-то конкретного мнения по поводу WireGuard пока выражено не было.

Известно, что в его основе лежит ворох технологий шифрования, бережно оберегающих каждый байт отправляемых данных. Используются Curve25519, ChaCha20, SipHash, BLAKE2 и Poly1305. Причем каждый из перечисленных типов криптографии берет на себя конкретную задачу. Допустим, Curve25519 необходим для обмена ключами, BLAKE2 занимается хэшированием информации, а Poly1305 задействуется для аутентификации.

Логотип WireGuard
WireGuard легковесный – он состоит всего из четырех тысяч строк кода. Поэтому разработчики при желании могут быстро его исследовать, проанализировать и даже поменять что-то. Это открытый стандарт, как и OpenVPN. Эта легковесность распространяется и на пользовательский опыт – люди охотно отмечают, что настроить WireGuard легче, чем остальные протоколы.

По результатом бенчмарков, WireGuard обгоняет лидеров рынка. Разрыв между WG и OpenVPN впечатляет. 1011 Мбит в секунду против 258 Мбит в секунду соответственно. С IPsec разница не такая большая, но она есть, и как раз в пользу WireGuard.

SoftEther

Недавняя разработка из Цукубского университета. Кроссплатформенный японский VPN-проект, который бок о бок с WireGuard стремится выйти на первые позиции, обойдя OpenVPN.

Хорош совместимостью с другими VPN-технологиями. Может работать в комбинациях с IPsec, EtherIP, L2TP. Из дополнительных функций предлагает: динамический DNS, встроенный фильтр пакетов, удобную панель управления и контроль над RPC через HTTPS. А еще он без проблем обходит чересчур бдительные брандмауэры, мешающие нормальной работе сети даже в безопасных условиях.

На SoftEther можно легко перебраться с OpenVPN за счет глубокой интеграции двух сервисов и функции клонирования в японском протоколе.

Так же, как OpenVPN и WireGuard, имеет открытый исходный код и распространяется бесплатно.

Сравнительная таблица протоколов

Закрепим новую информацию с помощью таблицы.

OpenVPN PPTP SSTP IPsec WireGuard SoftEther
Создатели OpenVPN Technologies Microsoft Microsoft Cisco и другие Джейсон Донфилд Университет Цукуба
Тип лицензии GNU GPL (открытый исходный код) Проприетарная Проприетарная Зависит от реализации GNU GPL (открытый исходный код) Apache License 2.0
Поддерживаемые платформы Нативно не поддерживает ни одну ОС. Сторонние клиенты для настройки есть для Windows, Linux, macOS, iOS и Android Windows, macOS, Linux и iOS без необходимости скачивать дополнительное ПО Windows без необходимости скачивать дополнительное ПО Windows, macOS, Linux и iOS без необходимости скачивать дополнительное ПО Windows, macOS, Linux и iOS без необходимости скачивать дополнительное ПО Windows, macOS, iOS, Linux и Android
Используемые порты Любой TCP и UPD TCP 1723 TCP 443 UDP 500, UDP 1701 (зависит от выполнимых задач) Любой UPD Любой TCP
Методы шифрования Библиотека OpenSSL Самый безопасный из доступных — MPPE SSL Самый безопасный из доступных — AES Curve25519, ChaCha20, SipHash, BLAKE2 и Poly1305 SSL
Уязвимости Не найдено Атаки по словарю MSCHAP-V2 и Bit Flipping Не найдено Не найдено Не найдено Не найдено

Какой протокол выбрать?

Пока что фаворитом является OpenVPN. Он уже давно на рынке и успел себя зарекомендовать. Используется топовыми VPN-cервисами, работает на Android, iOS, Windows, macOS, Linux и даже на роутерах. Разве что на утюге не получится запустить. Скорость работы OpenVPN хоть и не поражает, но ее хватит для комфортной работы.

Второе место я бы отдал WireGuard. Это пока еще темная лошадка, но зато с кучей бонусов. Он превосходит OpenVPN и IPsec по всем параметрам, но пока не вызывает такого доверия, как первый. Но это все же дело времени. Кажется, что в ближайшем будущем расстановка сил на рынке VPN-сервисов заметно скорректируется.

Принципы работы VPN

Замкнет тройку лидеров IPsec – отличный баланс между производительностью и доступностью. Правда, если не брать в расчет подозрительную историю с утечкой данных американских спецслужб. Если им верить, то в IPsec встроены бэкдоры, позволяющие отслеживать трафик, передаваемый по протоколу IPsec в тайне от отправляющего.

Остальные технологии оказались на обочине прогресса. Не советую их использовать. Только если все остальные варианты почему-то оказались недоступны.

Настраиваем IPsec-туннель между офисами на оборудовании Mikrotik

Задача объединения нескольких сетей в разных офисах одна из наиболее часто встречающихся у системных администраторов. Для ее решения могут использоваться различные виды VPN и туннельных соединений, выбор которых может зависеть от множества требований и условий. Одной из альтернатив туннелям и VPN может служить «чистое» IPsec-соединение, которое имеет как свои достоинства, так и недостатки. В данном материале мы рассмотрим реализацию подобного соединения между сетями офисов (site-to-site) c использованием оборудования Mikrotik.

IPsec — набор протоколов для обеспечения защиты данных, передаваемых в сетях по протоколу IP. Основным преимуществом IPsec является высокий уровень безопасности, на сегодняшний день он является лучшим протоколом для защиты передаваемых данных. Также следует отметить высокий уровень производительности, при условии достаточного количества вычислительных ресурсов для работы с криптографией. Применительно к устройствам Mikrotik IPsec позволяет получить одни из самых высоких результатов, особенно на устройствах с аппаратной поддержкой шифрования.

Но есть и недостатки, они тоже достаточно существенны. IPsec сложен, как в настройке, так в понимании его работы, это требует от администратора более глубокого уровня знаний и может вызвать серьезные затруднения при отладке и диагностике неисправностей. Также IPsec не использует интерфейсы, а обрабатывает трафик на основании собственных политик, это также приводит к ряду затруднений, начиная от прохождения трафика через брандмауэр и заканчивая невозможностью применения маршрутизации для таких соединений. Часть сетевых конфигураций легко реализуемых при помощи VPN и туннелей построить при помощи IPsec в принципе невозможно.

Далее мы рассмотрим объединение двух офисных сетей по представленной ниже схеме:

Mikrotik-IPsec-site-to-site-001.png
Где LAN 1 с диапазоном 192.168.111.0/24 и LAN 2 — 192.168.186.0/24 — это сети двух офисов, которые мы будем объединять, а 192.168.3.107 и 192.168.3.111 — выполняют роль внешних белых адресов в сети интернет. Наша задача обеспечить прозрачный доступ устройств одной сети в другую через защищенный канал связи.

Настройка IPsec соединения

Соединение IPsec имеет отличия как от предусматривающего клиент-серверную схему VPN, так и от stateless туннелей. В отличие от последних мы всегда можем проверить состояние соединения, но понятие клиента и сервера здесь отсутствует, в IPsec одно из устройств выступает в качестве инициатора (initiator), а второе в качестве ответчика (responder). Эти роли не являются жестко закрепленными и могут меняться между устройствами, хотя при необходимости мы можем закрепить за определенным устройством постоянную роль.

Например, это позволяет установить IPsec соединение, когда один из узлов не имеет выделенного IP-адреса, в этом случае ему следует настроить роль инициатора, а второму узлу роль ответчика. В нашем случае подразумевается наличие выделенных адресов с обоих сторон и каждое из устройств может выступать в любой роли.

Настройку начнем с определения алгоритмов шифрования для каждой фазы соединения. Так как мы соединяем два собственных устройства, то можем не оглядываться на требования совместимости и настроить параметры шифрования на собственное усмотрение. Но без фанатизма, не забываем, что многие устройства Mikrotik достаточно слабые и не имеют аппаратной поддержки шифрования, а те, которые имеют, поддерживают различный набор протоколов.

Так популярный RB750Gr3 (hEX) поддерживает аппаратное ускорение только SHA1/SHA256 — AES-CBC, а более новый RB3011 уже поддерживает SHA1/SHA256 — AES-CBC и SHA1/SHA256 — AES-CTR. Желание использовать сильные шифры безусловно похвально, но оно не должно опережать возможности имеющегося оборудования.

Первая фаза — обмен ключами и взаимная идентификация устройств, за ее настройки отвечает раздел IP — IPsec — Profiles, перейдем в него и создадим новый профиль. Для него укажем: Hash Algorithms — sha1, Encryption Algorithm — aes-256, DH Group — ecp384. В поле Name укажем имя профиля, в нашем случае ipsec-sts (site-to-site).

Mikrotik-IPsec-site-to-site-002.png
В терминале для выполнения этого же действия выполните:

/ip ipsec profile
add dh-group=ecp384 enc-algorithm=aes-256 name=ipsec-stsЭто достаточно сильные настройки шифров, для устройств без аппаратного ускорения мы бы посоветовали ограничиться aes-128 и modp1024, хотя никто не мешает протестировать желаемые варианты и остановиться на наиболее оптимальном.

Вторая фаза — установление защищённого соединения и передача данных, настройки шифров для нее задаются в IP — IPsec — Proposal, перейдем в данный раздел и создадим новое предложение. Укажем Auth. Algorithms — sha1, Encr. Algorithms — aes-256-cbc, PFS Group — ecp384.

Mikrotik-IPsec-site-to-site-003.png
Это же действие в терминале:

/ip ipsec proposal
add enc-algorithms=aes-256-cbc name=ipsec-sts pfs-group=ecp384В данном примере мы использовали не самые сильные шифры, так режим шифрования CBC является наиболее слабым и при наличии аппаратной поддержки стоит использовать CTR или GCM. Но не забывайте о достаточной разумности, если нагрузка на устройство велика — понижайте уровень шифрования.

Теперь перейдем в IP — IPsec — Peer и создадим новое подключение. В поле Address указываем внешний адрес второго роутера, в Profile выбираем созданный нами на предыдущем этапе профиль, в нашем случае ipsec-sts, а в поле Exchange Mode указываем IKE2.

Mikrotik-IPsec-site-to-site-004.png
В терминале:

/ip ipsec peer
add address=192.168.3.111/32 exchange-mode=ike2 name=sts-peer profile=ipsec-stsВ целом того, что мы уже настроили достаточно для установления защищенного соединения, но IPsec не VPN и работает по-другому. Для того, чтобы трафик начал шифроваться он должен соответствовать одной из политик IPsec, поэтому перейдем в IP — IPsec — Policies и создадим новую политику. В поле Peer укажем созданное ранее соединение, ниже установим флаг Tunnel для работы соединения в туннельном режиме, в поле Src. Address укажем диапазон собственной сети — 192.168.111.0/24, а в поле Dst. Address — диапазон удаленной сети — 192.168.186.0/24.

Mikrotik-IPsec-site-to-site-005.png

Затем на закладке Action установите Proposal — ipsec-sts, предложение которое мы создали ранее.

Mikrotik-IPsec-site-to-site-006.png

Для терминала используйте следующие команды:

/ip ipsec policy
add dst-address=192.168.186.0/24 peer=sts-peer proposal=ipsec-sts src-address=192.168.111.0/24 tunnel=yesНу и осталось совсем немного — научить узлы идентифицировать друг друга, так как оба роутера контролируются администратором и настроены принимать подключения только от другого узла, то мы будем использовать аутентификацию по предварительному ключу. Перейдем в IP — IPsec — Identities и создадим новую настройку идентификации. Здесь нам нужно заполнить поля: Peer — указываем созданное нами соединение, в нашем случае ipsec-sts, Auth. Method — pre shared key, Secret — предварительный ключ. В качестве предварительного ключа рекомендуется использовать строку с использованием цифр, букв в разных регистрах и специальных символов, сформированных в случайном порядке и с длинной не менее 16-32 символов. Не следует использовать в качестве ключа словарные слова и фразы. Предупреждения внизу окна можно проигнорировать.

Mikrotik-IPsec-site-to-site-007.png
В терминале:

/ip ipsec identity
add peer=sts-peer secret=»2KuSY2%QKt\$\$gs8V9nrERD@V8zAuh\$3S»

На втором узле следует выполнить аналогичные настройки, только в качестве адреса в Peer указав внешний адрес первого роутера, а в Policy поменяв местами сеть источника и сеть назначения.

Настройка брандмауэра

Будем считать, что вы используете нормально закрытый брандмауэр настроенный в соответствии с нашими рекомендациями. Для того, чтобы разрешить входящее IPsec-соединение перейдем в IP — Firewall — Filter Rules и добавим следующие правила. Первое из них разрешает работу протокола обмена ключами IKE: Chain — input, Protocol — udp, Dst. Port — 500,4500, In. Interface — внешний интерфейс, в нашем случае ether1.

Mikrotik-IPsec-site-to-site-008.png
Второе правило разрешает протокол шифрования полезной нагрузки Encapsulating Security Payload (ESP): Chain — input, Protocol — 50 (ipsec-esp), In. Interface — внешний интерфейс — ether1.

Mikrotik-IPsec-site-to-site-009.png

Обратите внимание, что мы нигде не указываем действие, потому что по умолчанию все правила имеют в качестве действия accept — разрешить.

Эти же действия можно быстро выполнить в терминале:

/ip firewall filter
add action=accept chain=input dst-port=500,4500 in-interface=ether1 protocol=udp
add action=accept chain=input in-interface=ether1 protocol=ipsec-espДля того, чтобы пакеты из одной сети могли попасть в другую, следует разрешить их транзит. Создадим еще одно правило: Chain — forward, In. Interface — внешний интерфейс — ether1, затем на закладке Advanced укажем IPsec Policy — in:ipsec. Это разрешит транзит любых входящих пакетов, которые попадают под любую установленную политику IPsec.

Mikrotik-IPsec-site-to-site-010.png
В терминале:

/ip firewall filter
add action=accept chain=forward in-interface=ether1 ipsec-policy=in,ipsec

Аналогичные настройки следует выполнить на втором узле.

Обход NAT и Fasttrack

Как мы уже говорили, IPsec не использует интерфейсы, а следовательно, обрабатываемый им трафик, хоть и уходит в защищенный туннель, но продолжает использовать в качестве исходящего внешний интерфейс, что может привести к ряду коллизий. Прежде всего нужно исключить обработку такого трафика правилами snat или masquerade. Для этого перейдем в IP — Firewall — NAT и создадим новое правило: Chain — srcnat, Src. Address — 192.168.111.0/24 — диапазон локальной сети, Dst. Address — 192.168.186.0/24 — диапазон удаленной сети, так как действие по умолчанию accept, то явно его не указываем. Данное правило поднимаем в самый верх, одно должно быть первым в цепочке srcnat.

Mikrotik-IPsec-site-to-site-011.png
Через терминал добавить его можно следующей командой:

/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.186.0/24 src-address=192.168.111.0/24 place-before=0Опция place-before=0 позволяет поставить правило в самое начало цепочки.

Если вы используете Fasttrack, то также следует исключить обработку проходящего через IPsec трафика этим механизмом, для этого следует добавить два правила. Первое для трафика из локальной сети в удаленную: Chain — forward, Src. Address — 192.168.111.0/24 — диапазон локальной сети, Dst. Address — 192.168.186.0/24 — диапазон удаленной сети, Сonnection State — established, related.

Mikrotik-IPsec-site-to-site-012.png
Второе правило для трафика из удаленной сети в локальную, оно полностью повторяет первое, только меняем местами сеть источника (Src. Address) и сеть назначения (Dst. Address).

В терминале:

/ip firewall filter
add chain=forward action=accept place-before=0 src-address=192.168.111.0/24 dst-address=192.168.186.0/24 connection-state=established,related
add chain=forward action=accept place-before=0 src-address=192.168.186.0/24 dst-address=192.168.111.0/24 connection-state=established,relatedАналогичные настройки, с учетом адресов, следует выполнить и на втором узле.

Сквозной IP-адрес – часто задаваемые вопросы

Режим моста не отключает трафик на шлюзе. Напротив, в режиме сквозной передачи IP трафик на шлюзе прерывается. Чтобы провайдеры интернет-услуг могли обойти шлюз, следует избегать режима моста и использовать режим сквозной передачи IP.

Нет, сквозная передача IP не рекомендуется во время игр, так как включение этого режима на модеме приведет к значительным задержкам во время игры. Рекомендуется отключать сквозную передачу IP во время игры.

С точки зрения непрофессионала, режим IP Passthrough позволяет устройству в локальной сети получить общедоступный IP-адрес, назначенный маршрутизатору. Он также предлагает PAT и NAPT через один и тот же общедоступный IP-адрес для каждого хоста в подмножестве частной локальной сети.

Уровни провайдеров IP-транзита

Существует три уровня провайдеров IP-транзита. Давайте подробно рассмотрим их все:

1 Уровень:

Поставщики интернет-услуг (ISP), принадлежащие к уровню 1, имеют международный охват. Они образуют глобальную сеть и взаимодействуют друг с другом, к которой подключаются интернет-провайдеры уровня 2 и уровня 3. Интернет-провайдеры уровня 1 не взимают плату друг с друга за передачу трафика во время пиринга, но они взимают плату с интернет-провайдеров, принадлежащих к более низким уровням, за транзит трафика в свои сети.

2 Уровень:

Интернет-провайдеры уровня 2 имеют доступ примерно на одном или двух континентах вместе с большими сетями. Они необходимы для покупки IP-транзита у интернет-провайдеров уровня 1. Чтобы избежать платы уровня 1 за транзит, интернет-провайдеры уровня 2 взаимодействуют друг с другом, как правило, бесплатно, чтобы расширить свой охват.

3 Уровень:

Интернет-провайдеры Уровня 3 — это местные провайдеры, имеющие национальный охват. Они покупают транзит у обоих более высоких уровней для минимизации расходов, связанных с ценами на IP-транзит уровня 1.

IP Transit и DIA: в чем разница?

DIA в основном используется для общих целей и является наиболее широко используемой интернет-службой по всему миру. Однако IP-транзит является лучшим вариантом для организаций с интенсивными функциями пропускной способности.

IP-транзит необходим компаниям, зависящим от надежного и постоянного доступа в Интернет. Например, IP-транзит подходит для производства, электронной коммерции, здравоохранения, финансовой торговли и банковской отрасли. Таким образом, неадекватные события задержки и периодические отключения могут стоить больших денег.

IP-транзит также идеально подходит для организаций с большими объемами передачи данных. Кроме того, подумайте об операциях электронной коммерции, видеофайлах, серверах резервного копирования, потоковой передаче 4K, редактировании аудио, хранилище облачных вычислений и многом другом.

Что касается DIA, соединение между веб-сайтом клиента и Интернетом называется выделенным доступом в Интернет (DIA). Это означает, что определенный объем пропускной способности был выделен и продан клиенту для его использования.

Даже если в сети есть перегрузки, частная и выделенная полоса позволит вам с легкостью выполнять свои действия в Интернете.

IP-транзит против транспорта

В то время как IP-транзит относится к подключению интернет-провайдеров к более широким сетям, IP-транспорт направлен на физическую передачу данных между сетями. Он связан со структурой протоколов, необходимой для прохождения через эти многочисленные сети, при этом отдавая приоритет безопасности.

Однако для эффективной работы IP-транзита и транспорта требуется передача данных на большие расстояния.

Есть еще одно соображение, что данные не могут быть полностью получены и отправлены через одну посылку и должны быть фрагментированы на части с ограничениями пропускной способности, определяющими объем данных, которые могут быть отправлены с течением времени.

Физическая среда передачи, волоконно-оптические или коаксиальные кабели, определяет скорость и пропускную способность IP-транспорта.

IP-транзит против пиринга

Пиринг — это когда две или более независимые сети напрямую соединяются между собой для обмена трафиком. Это делается без взимания платы за трафик или присоединение.

Принимая во внимание, что транзит — это когда автономная сеть соответствует требованиям для передачи потоков трафика между другой автономной сетью и всеми другими сетями. Поскольку трафик не может напрямую подключаться ко всем сетям, сеть, предлагающая транзитные услуги, доставляет часть IP-трафика опосредованно, используя несколько транзитных сетей.

Что такое сообщество BGP?

Сообщество протокола пограничного шлюза (BGP) — это транзитивная и необязательная функция, идентифицируемая и передаваемая другим одноранговым узлам BGP. Вы можете рассматривать это сообщество как маркер, прикрепленный к маршрутам BGP, которыми обмениваются два одноранговых узла.

Каждый поставщик интернет-услуг IP-транзита предоставляет набор сообществ, которые будут приняты и позволят манипулировать трафиком в интернет-провайдере или в отношениях с другими интернет-провайдерами. Если это не согласовано заранее, другие сообщества лишатся обновлений BGP.

Сообщества BGP позволяют пользователям выбирать локальные маршруты или выполнять имитации AS-PATH. Клиентский маршрут может показаться менее предпочтительным для партнеров интернет-провайдеров или самих интернет-провайдеров.

Часто задаваемые вопросы — IP Transit

IP-транзит также известен как интернет-транзит или Интернет. Для усложнения использования этого жаргона поставщики IP-транзита часто называют восходящими поставщиками.

Существует множество различий между IP-транзитом и пирингом. Ключевое отличие состоит в том, что сети, дающие согласие на одноранговое соединение, не обменивают деньги. Оператор может легко уменьшить свою зависимость от транзитных провайдеров восходящего потока с помощью пиринга. Но не все операторы стремятся к большому количеству пиров.

Различные автономные системы управляют трафиком и передают информацию о маршруте через протокол, называемый протоколом пограничного шлюза (BGP). IP-транзит — это услуга, с помощью которой сети имеют доступ к полному Интернету через BGP.

Сеть уровня 2 — это интернет-провайдер, использующий пиринговые практики с другими сетями и покупающий IP-транзит, чтобы получить часть Интернета.

Обзор

Подключение к VPN-шлюзу состоит из следующих компонентов:

  • Локальное VPN-устройство (см. список проверенных VPN-устройств).
  • Общедоступный Интернет
  • VPN-шлюз Azure
  • Azure

Расчет максимального ожидаемого исходящего и входящего трафика

  1. Определите базовые требования приложения к пропускной способности.
  2. Определите предел пропускной способности для VPN-шлюза Azure. Справочные сведения см. в разделе «Номера SKU шлюзов» в статье VPN-шлюз.
  3. Определите рекомендованную пропускную способность для используемого размера виртуальной машины Azure.
  4. Определите пропускную способность поставщика услуг Интернета (ISP).
  5. Вычислите ожидаемую пропускную способность, взяв за основу наименьшую пропускную способность виртуальной машины, VPN-шлюза или поставщика услуг Интернета (в Мбит/с) и поделив ее на 8.

Если расчетная пропускная способность не удовлетворяет базовым потребностям приложения, необходимо увеличить пропускную способность ресурса, который представляет собой узкое место. Чтобы изменить размер VPN-шлюза Azure, см. статью Изменение SKU шлюза. Чтобы изменить размер виртуальной машины, см. статью Изменение размера виртуальной машины. Если ожидаемая пропускная способность Интернета не обеспечивается, рекомендуется обратиться к поставщику услуг Интернета.

Пропускная способность VPN-шлюза — это совокупность всех подключений «сеть-сеть»/»виртуальная сеть-виртуальная сеть» или «точка — сеть».

Проверка пропускной способности сети с помощью средств повышения производительности

Эту проверку следует выполнять в часы пониженной нагрузки, так как насыщенность пропускной способности туннеля VPN при тестировании не позволяет получить точные результаты.

Для этого теста мы используем средство iPerf, которое работает в Windows и Linux, а также имеет режимы клиента и сервера. Для виртуальных машин Windows пропускная способность ограничена значением 3 Гбит/с.

Это средство не выполняет операции чтения и записи на диск. Оно лишь создает самостоятельно сформированный TCP-трафик с одного конца на другой. Средство формирует статистику по результатам эксперимента, измеряющего пропускную способность между узлами клиента и сервера. При тестировании между двумя узлами один выступает в качестве сервера, а другой — в качестве клиента. После завершения теста рекомендуется поменять эти роли местами, чтобы проверить пропускную способность как при отправке, так и при скачивании на обоих узлах.

Запуск iPerf (iperf3.exe)

  1. Включите правило NSG/ACL, разрешающее такой трафик (для тестирования общедоступного IP-адреса на виртуальной машине Azure).
  2. На обоих узлах включите исключение брандмауэра для порта 5001.Windows. Выполните следующую команду от имени администратора:netsh advfirewall firewall add rule name=»Open Port 5001″ dir=in action=allow protocol=TCP localport=5001Чтобы удалить правило после окончания тестирования, выполните следующую команду:netsh advfirewall firewall delete rule name=»Open Port 5001″ protocol=TCP localport=5001Linux в Azure. Образы Linux в Azure имеют нестрогие брандмауэры. Когда приложение прослушивает порт, прохождение трафика разрешается. Для защищенных пользовательских образов может потребоваться явно открыть нужные порты. В число распространенных брандмауэров уровня ОС для Linux входят iptables, ufw и firewalld.
  3. На узле сервера перейдите в каталог, куда извлекается iperf3.exe. Затем запустите iPerf в режиме сервера и настройте его для прослушивания порта 5001, как показано в следующих командах:cd c:\iperf-3.1.2-win65 iperf3.exe -s -p 5001ПримечаниеПорт 5001 можно настроить с учетом определенных ограничений брандмауэра в вашей среде.
  4. На узле клиента перейдите в каталог, куда извлекается средство iperf, и выполните следующую команду:iperf3.exe -c -t 30 -p 5001 -P 32Клиент передает трафик на сервер через порт 5001 в течение на 30 секунд. Флаг «-P» указывает, что используется 32 одновременных подключения к узлу сервера.
  5. (НЕОБЯЗАТЕЛЬНО) Чтобы сохранить результаты тестирования, выполните следующую команду:iperf3.exe -c IPofTheServerToReach -t 30 -p 5001 -P 32 >> output.txt
  6. После завершения предыдущих шагов выполните те же действия, изменив роли на противоположные, чтобы узел сервера стал клиентом, и наоборот.

Примечание

Iperf — не единственный инструмент. NTTTCP — это альтернативное решение для тестирования.

Тестирование виртуальных машин Windows

Загрузка Latte.exe на виртуальные машины

Скачайте последнюю версию Latte.exe.

Рекомендуется поместить Latte.exe в отдельную папку, например c:\tools

Разрешите доступ к Latte.exe в настройках брандмаэура Windows

В брандмауэре Windows на виртуальной машине-получателе создайте правило, разрешающее прием трафика Latte.exe. Проще разрешить саму программу Latte.exe по имени, чем входящий трафик через определенные TCP-порты.

Разрешите доступ к Latte.exe в настройках брандмаэура Windows

netsh advfirewall firewall add rule program=\latte.exe name=»Latte» protocol=any dir=in action=allow enable=yes profile=ANY

Например, если файл Latte.exe скопирован в папку «c:\tools», используйте следующую команду:

netsh advfirewall firewall add rule program=c:\tools\latte.exe name=»Latte» protocol=any dir=in action=allow enable=yes profile=ANY

Запуск тестов задержки

Запустите Latte.exe на виртуальной машине-получателе (в командной строке, а не в PowerShell).

latte -a :-i

Примерно 65 тысяч итераций достаточно, чтобы получить репрезентативные результаты.

Походит любой доступный номер порта.

Для виртуальной машины с IP-адресом 10.0.0.4 команда будет выглядеть следующим образом.

latte -c -a 10.0.0.4:5005 -i 65100

Запустите Latte.exe на виртуальной машине-отправителе (в командной строке, а не в PowerShell).

latte -c -a :-i

Результирующая команда такая же, как и для виртуальной машины-получателя, но необходимо добавить «-c», чтобы показать, что это «клиент» или «отправитель»

latte -c -a 10.0.0.4:5005 -i 65100

Дождитесь результатов. В зависимости от расстояния между виртуальными машинами выполнение может занять несколько минут. Рекомендуется начать с меньшего количества итераций, чтобы проверить успешность перед выполнением более долгих тестов.

Тестирование виртуальных машин Linux

Используйте SockPerf для тестирования виртуальных машин.

Установите SockPerf на виртуальных машинах

Выполните приведенные ниже команды на виртуальных машинах Linux (отправителе и получателе), чтобы подготовить их к использованию SockPerf.

CentOS/RHEL — установка GIT и других полезных средств

sudo yum install gcc -y -qsudo yum install git -y -qsudo yum install gcc-c++ -ysudo yum install ncurses-devel -ysudo yum install -y automake

Ubuntu — установка GIT и других полезных средств

sudo apt-get install build-essential -ysudo apt-get install git -y -qsudo apt-get install -y autotools-devsudo apt-get install -y automake

Bash -all

Из командной строки bash (предполагается, что Git установлен)

git clone https://github.com/mellanox/sockperfcd sockperf/./autogen.sh./configure —prefix=

Выполняется медленнее, может занять несколько минут

make

Команда make install выполняется быстро

sudo make install

Запустите SockPerf на виртуальных машинах

Примеры команд после установки. Сервер или получатель — предполагается, что IP-адрес сервера — 10.0.0.4

sudo sockperf sr —tcp -i 10.0.0.4 -p 12345 —full-rtt

Клиент — предполагается, что IP-адрес сервера — 10.0.0.4

sockperf ping-pong -i 10.0.0.4 —tcp -m 1400 -t 101 -p 12345 —full-rtt

Примечание

Убедитесь в отсутствии промежуточных прыжков (например, виртуального устройства) во время проверки пропускной способности между виртуальной машиной и шлюзом. При получении неудовлетворительных результатов предыдущих тестов iPERF/NTTTCP (с точки зрения общей пропускной способности), ознакомьтесь с этой статьей, чтобы понять основные факторы, которые могут быть возможными первопричинами проблемы:

В частности, анализ трассировки сбора пакетов (Wireshark/Network Monitor), полученных параллельно от клиента и сервера во время этих тестов, поможет проанализировать снижение производительности. Эти трассировки могут включать потери пакетов, высокую задержку, размер MTU. фрагментация, окно TCP 0, фрагменты неупорядоченного кода и т. д.

Решение проблем с низкой скоростью при копировании файлов

Даже если общая пропускная способность, оцененная с помощью предыдущих тестов (iPERF/NTTTCP/и т. д.), была хорошей, может возникнуть задержка при копировании файлов в Проводнике Windows или перетаскивании файлов в сеансе удаленного рабочего стола. Обычно эта проблема вызвана одним или обоими следующими факторами:

  • Приложения для копирования файлов, такие как проводник и RDP, не используют несколько потоков при копировании. Для повышения производительности используйте многопоточное приложение, например Richcopy, которое копирует файлы с помощью 16 или 32 потоков. Чтобы изменить число используемых потоков в Richcopy, выберите Action (Действие)>Copy options (Параметры копирования)>File copy (Копирование файлов).Примечание: не все приложения работают одинаково, и некоторые приложения и процессы используют не все потоки. При выполнении теста можно увидеть, что некоторые потоки пусты и не могут дать точных результатов пропускной способности. Чтобы проверить производительность передачи файлов в приложении, используйте многопоточность. Постепенно увеличивайте или уменьшайте число потоков, чтобы определить оптимальную пропускную способность приложения или передачи файлов.
  • Недостаточная скорость чтения и записи виртуальной машины.

Внешний интерфейс для локального устройства

Упомянутые подсети локальных диапазонов, которые должны быть доступны в Azure через VPN в шлюзе локальной сети. Одновременно определите адресное пространство виртуальной сети в Azure для локального устройства.

  • Шлюз на основе маршрутов. Политика или селектор трафика для VPN на основе маршрутов, настроенные по принципу «любой к любому» (или подстановочные знаки).
  • Шлюз на основе политик. VPN на основе политики шифрует и направляет пакеты через туннели IPsec в соответствии с комбинациями префиксов адресов между локальной сетью и виртуальной сетью Azure. Политика (или селектор трафика) обычно определяется как список доступа в конфигурации VPN.
  • Подключения UsePolicyBasedTrafficSelector. Если задать для параметра подключения «UsePolicyBasedTrafficSelectors» значение $True, это позволит настроить VPN-шлюз Azure, чтобы локально подключаться к брандмауэру VPN на основе политик. Если включен параметр PolicyBasedTrafficSelectors, то вместо режима «любой к любому» необходимо обеспечить соответствующие селекторы трафика для VPN-устройства со всеми комбинациями префиксов локальной сети (шлюза локальной сети) и префиксами виртуальной сети Azure.

Неправильная конфигурация может привести к частым отключениям в туннеле, потере пакетов, снижению пропускной способности и увеличению задержки.

Проверка задержки

Задержку можно проверить с помощью следующих средств:

  • WinMTR
  • TCPTraceroute
  • ping и psping (эти средства могут обеспечить хорошую оценку RTT, но использовать их можно не во всех случаях).

Если вы заметили пиковую задержку на любом из прыжков перед выходом на магистраль сети Майкрософт, рекомендуется обратиться за консультацией к поставщику услуг Интернета.

Если наблюдается значительное и необычное увеличение задержки на прыжках в «msn.net», обратитесь в службу поддержки Майкрософт для дальнейшего исследования проблемы.

 

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: