IP-тунелинг под ОС Linux. IP-in-IP vs. CIPE

Эта статья рассмотрит преимущества и недостатки ПО для организации туннелей между двумя компьютерами под управлением ОС Linux.

Что это такое и с чем это едят..

Что такое туннелинг? Многие из вас задавались этим вопросом кто-то находил ответ, кто-то нет. Я попробую разъяснить. Туннелинг это подобие выделенной линии, но только поверх уже существующей сети. Используется это для, например, для соединения нескольких IPX или NETBEUI сетей через Internet в единую. Вы спросите, а нельзя обойтись без туннелинга и просто соединить их в одну? Ответ нет. Особенность Internet такова, что в нем используется один единый протокол - IP (Internet Protocol).

Для чего это нужно?

Самым простым примером может служить данная схема:

Как это работает?

Примерно так:

IPX пакеты из Сети А адресованные компьютеру в Сети Б запаковываются внутрь пакетов IP-тунеля Компьютером А и передаются Компьютеру Б, который в свою очередь их распаковывает и отправляет адресату в Сети Б.

Как это реализовать?

Реализуется это на уровне маршрутизаторов. Например, данная функция есть в маршрутизаторах Cisco и Bay Networks, но я не стану на этом задерживаться - эта статья посвящена реализации IP-тунелинга на ОС Linux.

Первым способом послужит встроенная в ядро системы функция IP-тунелинга. IP-in-IP

Естественно не достаточно ее просто включить, требуется специальная настройка. Вот пример настройки IP-тунеля:

Компьютер А: 111.112.101.37

Компьютер Б: 111.112.100.86

по какой-то причине между ними требуется поднять IP-тунель. 
(Компьютер А и Б в одной подсети)

Необходимые действия на Компьютере А:


# ifconfig tunl 111.112.100.87 pointopoint 111.112.100.86
# ifconfig tunl netmask 255.255.255.0  - устанавливаем нет-маску
# route add 111.112.100.86 dev eth0    - делаем запись в таблицу
                                         статических роутов для
                                         Компьютера Б
# route add -net 111.112.100.0 dev tunl - Настраиваем таблицу роутов
                                         для подсети Компьютера Б.



Необходимые действия на Компьютере Б:


# ifconfig tunl 111.112.100.86 pointopoint 111.112.101.37
# ifconfig tunl netmask 255.255.255.0  - устанавливаем нет-маску
# route add 111.112.100.87 dev eth0    - делаем запись в таблицу
                                         статических роутов для
                                         Компьютера Б
# arp -s 111.112.100.87 EE.EE.EE.EE.EE pub - Настраиваем ARP таблицу.

Команда "arp -s" необходима чтобы Компьютер Б знал ARP адрес Компьютера А, т.к. они в разных IP-подсетах,то Компьютер Б не будет знать ARP адрес Компьютера А, и ему надо помочь :-)

Недостаток данного варианта в том, что в данном случае надо произвести много манипуляций с ядром системы и производимые действия требуют довольно глубоких познаний в устройстве протокола TCP/IP и новичкам это порой неподсилу. Но есть и преимущества - установка IP-тунеля не требует специального ПО, все что может понадобиться идет в комплекте с ОС.

Вторым вариантом может послужить программа CIPE v0.5.

CIPE расшифровывается как Crypto IP Encapsulation, из этого явственно следует, что это не просто программа для образования туннеля, а ПО для организации туннеля с криптованием передаваемых данных. Настройка CIPE проще чем встроенного в ядро драйвера туннелинга. Может показаться, что этот вариант лучше во всех отношениях, но нет ничего идеального и у CIPE свои недостатки, на них я остановлюсь далее, а сейчас о настройке.

Предположим, что Серверу 1 надо организовать туннель с Сервером 2, условием является то что сервера находятся в разных странах. Конечно можно воспользоваться первым вариантом, но это потребует произвести гораздо больше действий, чем описано, поэтому предпочтительней данный. Для начала надо , скомпилировать и инсталлировать CIPE. После этого требуется сделать следующее на Сервере 1:

# insmod cip3b.o                            - загружаем модуль тунеля

Далее надо отредактировать файл /etc/cipe/options:


device     cip3b0                           - имя интерфейса туннеля.
ptpaddr    10.0.0.2                         - адрес Сервера 2
ipaddr     10.0.0.1                         - адрес Сервера 1
me         194.67.110.8:6789                - настоящий адрес 
                                              Сервера 1 
peer       195.16.96.96:6543                - настоящий адрес 
                                              Сервера 2
key        3238fd21adf9c10ccf9ecу2393bbb6e4 - секретный ключ 
                                              для криптования

Далее:

# /ciped
# /etc/cipe/ip-up cip3b0 10.0.0.1  194.67.110.8 195.16.96.96 

На Сервере 2 проделываем тоже самое только изменяем /etc/cipe/options:

device     cip3b0                           - имя интерфейса туннеля.
ptpaddr    10.0.0.1                         - адрес Сервера 1
ipaddr     10.0.0.2                         - адрес Сервера 2
me         195.16.96.96:6543                - настоящий адрес
                                              Сервера 2
peer       194.67.110.8:6789                - настоящий адрес
                                              Сервера 1
key        3238fd21adf9c10ccf9ecу2393bbb6e4 - секретный ключ
                                              для криптования

ВАЖНО: параметр key должен совпадать на Сервере 1 и на Сервере 2.

# /ciped
# /etc/cipe/ip-up cip3b0 10.0.0.2  195.16.96.96 194.67.110.8

Основные преимущества CIPE перед "родным" туннелем в Linux в том что он гораздо более прост в настройке, защищен он перехвата пакетов (ведь данные закриптованы), не требует больших познаний в TCP/IP и что не маловажно не требует специальной настройки ядра системы, CIPE использует собственный драйвер туннелинга. Но есть большой недостаток если CIPE неправильно настроить он вызывает сбой системы и в нее можно попасть только с локальной консоли. Согласитесь большой недостаток, особенно если ваш Сервер 2 находится в другом городе или стране, тут сказывается выигрышность "родного" драйвера туннелинга, как ни как он гораздо более отказоустойчив.

Итак, выбор за вами!

(c) Сергей Минаков 24.08.1998.