Теория:VPN:Что во что заворачивать?

Очень часто у начинающих инженеров возникает путаница с тем что во что надо заворачивать, когда надо заворачивать, а когда не надо. Попробуем внести ясность в этот вопрос.

Условно (с технической точки зрения это не совсем корректно, но так проще для понимания начинающими специалистами) протоколы можно разделить на две группы: туннельные протоколы и протоколы шифрования. Задача классических туннельных протоколов создать соединение между двумя устройствами, как правило, такие протоколы не шифруют трафик либо шифруют его с помощью слабых алгоритмов, которые легко взломать. Задача протоколов шифрования затруднить доступ к информации передаваемой по соединению, но при этом протокол может иметь и недостатки. Протокол может относиться к обеим условным группам (например OpenVPN).

Туннельные протоколы:

• L2TP
• GRE
• IPIP
• EoIP
• OpenVPN
• SSTP

Протоколы шифрования:

• IPSec
• OpenVPN
• SSTP

Наиболее часто встречающаяся "классическая" схема это создание туннеля GRE внутри которого траффик шифруется с помощью IPSec. Давайте разберем эту схему подробнее. Если установить соединение только с помощью IPSec, то трафик между двумя сетями будет ходить. Проблема возникнет в тот момент, когда нам надо будет передать через шифрованный канал не IP-трафик или информацию динамических протоколов маршрутизации (например, OSPF). Такую информацию через IPSec передать не получится. Так же IPSec не создает виртуальный интерфейс и как результат его нельзя добавить в таблицу маршрутизации. Именно в этом случае "IPSec заворачивают в GRE", т. е. вначале создается GRE-туннель (который может передавать информацию о динамических протоколах маршрутизации) а потом внутри этого туннеля создается еще один туннель с помощью IPSec, который в свою очередь отвечает за шифрование трафика.

Если требуется прохождение трафика 2-го уровня (например, широковещательный трафик), то можно использовать протокол EoIP.