Тема 27. Обзор технологий VPN: PPTP, L2TP, IPSec, SSL.
ฝัง
- เผยแพร่เมื่อ 9 มิ.ย. 2024
- Что такое VPN? Почему L2TP в основном для пользователей, а IPSec site-to-site? Почему SSL/TLS это тоже VPN и где мы его встречаем? Какие проблемы будут с MTU и фрагментацией? Настройка IPsec на cisco.
0:00 - Вступление
2:05 - Что такое VPN?
4:16 - Сценарии работы VPN, классификация по назначению
7:40 - Место протоколов VPN в модели OSI
9:19 - PPTP
9:48 - Пакет PPTP
12:20 - L2TP
12:49 - Плюсы L2TP, пакет L2TP
15:09 - Параметры настроек VPN на клиентском ПК на базе Windows, пакет L2TP
17:46 - IPSec
18:38 - Пакет IPSec
21:05 - Режимы IPSec
23:47 - Использование IPSec
25:11 - SSL VPN
26:35 - Шифрование с открытым ключом
32:37 - SSL
34:01 - DMVPN
36:24 - VPN MTU
38:54 - Настройка IPSec
43:42 - Настройка GRE over IPSec
Тема 24.2 Туннели GRE. L3 каналы и туннелирование.
• Тема 24.2 Туннели GRE....
Тема 28. Принципы и настройка VRF Lite.
• Тема 28. Принципы и на...
Да я даже будучи сертифицированным сетевиком с удовольствием смотрю лекции, чтобы закрыть некоторые пробелы в теории. Спасибо за видео, коллега!
Спасибо за отзыв! Обязательно пишите свои комментарии, что удачно\неудачно, чего не хватает.
Отличный урок. Спасибо
Пишу диплом, узнал много нового, спасибо Вам большое
Удачной вам защиты!
Побольше бы таких видео, спасибо.
Как жалко что раньше вас не нашел, очень ясно и локанично все излогаете!
спасибо!Советуйте коллегам!
Вообще спасибо! Глоток воздуха в куче ютубовской рафинированной биомассе.
Отличные лекции. Всё четко и понятно.
Отличное видео. Много всего узнал, надеюсь, на экзамене не буду плавать :)
Браво!!! Благодарю за труд!
Очень понятно, спасибо 👍
Уважаемые зрители! Если видео лекции/практики оказалось полезным,
поддержите ролик лайком и комментарием, это поможет ознакомить
с ним большую аудиторию. Спасибо.
Анонсы, обсуждения, вопросы тут: t.me/nir_net
Для желающих поддержать канал boosty.to/nir_net
Глаз радуется наблюдать, как вы с удовольствием делитесь и объясняете информацию не только для своих учеников, а ещё и для всех желающих. Вы профессионал своего дела, спасибо вам :)
@@johnwarblock9898 Спасибо за отзыв
Спасибо! Полезное видео!
Спасибо за отзыв!
хорошая лекция!
Спасибо за отзыв!
Было бы круто, если б на каждую технологию был свой тайм код, чтобы удобно переключатся
Например мне нужно узнать только за айписек, а искать это в лекции занимает лишнее время
К сожалению лекций и роликов много, а я один :-) Если хотите, сделайте тайм коды для этого ролика, я их с удовольствием вставлю в описание. Спасибо за отзыв!
Спасибо.
С такими преподами лекции обидно пропускать! ШИ-КАР-НО!
открыла первый раз, круто обьясняют, не очень понятно что такое gre особенно когда много раз говорят - ну вы же уже знакомы с ним, gre gre gre. можно пожалуйста немного пояснять для тех кто не смотрит курс лекций а смотрит только отдельные видео. спасибо.
Посмотрите тему GRE. Темы сильно взаимосвязаны.
Здравствуйте! Спасибо за лекцию. У меня возник вопрос. Никак не возьму в толк насколько правильно называть SSL/TLS VPN'ом? Основная идея технологии VPN - это создание одной виртуальной сети, но SSL/TLS не делает этого, он не создает новый IP-заголовок.
Да, так и есть, формально не VPN.
Правильно ли я понимаю, что по умолчанию PPTP и L2TP не шифруют данные, т.е. для шифрования PPTP используется MPPE, а для L2TP обычно используют IPsec?
Я к сожалению не имею опыта шифрования PPTP но хорошо если такие механизмы есть, а для L2TP - да нужен Ipsec для шифрования.
@@Networkisreachable понял, спасибо
Спасибо за материал. Но хотел бы узнать - как эти тоннели реагируют на napt? Тоесть если он двойной.
плохо реагирует. тоннели работают в основном между белыми адресами, иначе никак. Есть ухищрения, но это уже скорее про проксирование итп итд.
@@Networkisreachable ок. Спасибо за информацию.
@@Networkisreachable а как тогда работает...ну тот же WARP vpn? Или другие ВПН для андроид например. Или это больше прокси?
@@aviator1472 Каждый нужно конкретно смотреть, мы здесь больше про сетевое оборудование. Читайте про WARP и особенности его функционирования.
@@Networkisreachable окей.
Классные магнитики. Побольше бы ращмером заказали в типографии их
Дак закажите, удобно!
вы сказали не совсем правильно насчет работы HTTPS. Открытым ключом шифруется общии симитричный ключ которым уже после шифруются данные. Ну и понятно что это сделано для более простого объяснения работы PKI но пользователь не ходит в центр сертификации за потверждением а просто в наследовании сертификата смотрит кто его выпустил и если он доверенный то все ок
Да, это так. Что касается TLS\SSL я могу быть неточным.
Здравствуйте. В плане безопасности, что лучше, VPN на роутер поставить или на сам компьютер ?
это зависит от задачи. Если нужно чтоб для клиентов в сети это было прозрачно, то на роутере. Если нужно чтоб впн использовали только часть пользователей то приложение.
@@Networkisreachable Спасибо.
Норм видео) только почему то опенвпн не рассматривается и sstp vpn
Ага и anyconnect не рассматривается :-) Были взяты наиболее распространенные решения. Но кто знает, будет распространено - добавим, но это больше к курсам по фаерволам.
Спасибо за Ваш труд, подскажите почему используется tunnel режим ipsec в данной конфигурации?
@@evgens2689 Потому что по задаче наш провайдер ничего не знает про вашу адресацию внутри корпоративной сети (как и интернет), в туннельном режиме мы прячем нашу адресацию внутри ipsec пакета, а наружный адрес - выходной wan интерфейса (аналог белого для интернета). В транспортном режиме происходит только шифрование сам же адрес пакета не изменяется.
Добрый день. Такой вопрос: какой смысл для инет провайдера не выпускать GRE в сеть (11:40)? И как понять, блокируется ли?
Да обычно GRE выпускают без проблем, только ваш gre не шифрован и данные льются в открытом виде.
@@Networkisreachable , проверять по 1723 порту?
@@Arius1987 да, именно так. Но повторюсь: обычно с ним проблем нет.
@@Networkisreachable обычно интернет провайдеры выпускают всё, т.е не блокируют ни по протоколам, ни по портам. Здесь, наверное, имелось ввиду, что GRE добавляя, свой заголовок, увеличивает длину всего пакета, таким образом получается пакетик больше чем принятый MTU на интерфейсах (1500). Но такое должно учитываться на стороне клиента и правильно настраиваться клиентское оборудование
@@vl4416 Проблемы mtu всегда присущи таким каналам, но всё решает tcp mss pmtud. Вот если трафик так не умеет, то начинаются с игры с фрагментацией, пока трафика мало нормально, но если его много то это уже не хорошо. ну и вишенка, если приложение (или тупое технологическое устройство) ставит DF. Обычно это не создает проблем, но нюансов масса.
Когда по сей день провайдер в нашем городе предоставляет PPPoE выход в интернет .
Не знал что этот протокол устаревший
Не совсем понял,какую роль PPP играет в l2TP, ладно в PPTP он вроде как отвечал за авторизацию и шифрование ,но l2tp же с IPsec часто используют,если l2tp это протокол тунелирования,ipsec для шифрования,то какую роль на себя вообще тут берет PPP?
в ipsec никакого ppp нету. Ipsec это набор протоколов и технологий, часть из которых может быть использована в других (связанных с шифрованием и авторизацией). дальше нужно смотреть конкретного вендора и задачу.
Не очень понял, внутри тунельного протокола (Pptp/l2tp) локальный серый адрес выдает сам VPN сервер клиенту , когда тунель поднимается или этим серым адресом остается ip устройства из локальной домашней сети с которым он и обращался к VPN серверу ?
Если вдруг VPN выдает серый адрес,то что становится с изначальным серым ip устройства? Оно больше не участвует в обмене данными?
Можно настроить адрес в тоннеле руками, но чаще конечно это DHCP. Какой там адрес зависит от задачи, у хоста есть и внешний адрес и туннельный адрес (который он например использует для доступа к корпоративной сети). У вас очень размытый вопрос, если это доступ к интернету то по pptp получают белый адрес который и используется для доступа к сети а у хоста локально серый. И может быть наоборот, смартфон имеет внешний белый адрес но строит l2tp до корпоративного сервера и получает там некий серый адрес и возможно ещё и маршруты для доступа к серверам компании.
@@Networkisreachable попробую уточнить: Смартфон находится в домашней сети за домашним роутером,а все это еще и во внутренней сети провайдера, где доступ в сеть происходит по IPoE через Bras провайдера с помощью CG-NAT, так вот в таком случае тунель поднимается как? Смартфон получит серый адрес от VPN сервера в замен лок адреса выданного домашним роутером,что же тогда будет с Ip который был на смартфоне изначально? Или тут имелись ввиду именно выдача ip адресов виртуальным интерфейсам, с двух сторон, именно тунелю,а ip смартфона останется тот же ,что изначально выдал домашний роутер?
@@Berseruke Смартфон не меняет адрес через VPN, VPN это отдельный сетевой интерфейс и его адрес никак не влияет на адрес полученный по wi-fi дома
@@Networkisreachable Вот,получается "некий серый адрес" который получит пользователь от VPN сервера имелось ввиду интерфейс другого конца VPN тунеля,если я все же правильно понял
@@Berseruke Интерфейс l2tp это как будто вторая сетевая карточка в ноутбуке, и у неё есть свой адрес (назначенный вручную или автоматически). особенность этого интерфейса в том, что он виртуальный и проброшен через интернет.
0:00 - Вступление
2:05 - Что такое VPN?
4:16 - Сценарии работы VPN, классификация по назначению
7:40 - Место протоколов VPN в модели OSI
9:19 - PPTP
9:48 - Пакет PPTP
12:20 - L2TP
12:49 - Плюсы L2TP, пакет L2TP
15:09 - Параметры настроек VPN на клиентском ПК на базе Windows, пакет L2TP
17:46 - IPSec
18:38 - Пакет IPSec
21:05 - Режимы IPSec
23:47 - Использование IPSec
25:11 - SSL VPN
26:35 - Шифрование с открытым ключом
32:37 - SSL
34:01 - DMVPN
36:24 - VPN MTU
38:54 - Настройка IPSec
43:42 - Настройка GRE over IPSec
Это просто удивительно! Спасибо за вашу работу и помощь! Если вас не затруднит, перешлите на dimm.gm@gmail.com, чтобы я смог добавить тайм коды в описание.
@@Networkisreachable Привет, спасибо!Переслал. Как раз решил ознакомиться поподробнее, и решил как для себя, так для остальных добавить тайм-коды.
@@user-ny4xy5ve2z Спасибо, применил к ролику!
Как с телефона это сделать мы тоже хотим посмотреть.!
как-то так: th-cam.com/video/JwrDjjVKFAM/w-d-xo.html
Подскажите, а как vpn взаимодействует с домашним роутером? Ну в смысле роутер же с помощью dhcp раздаёт устройствам в лок. сети серые адреса и в интернет все выходят под белым с помощью NAT, а как себя ведет VPN соединение? Оно идет вплоть до устройства,или тунель образуется исключительно от роутера до vpn сервера? Какой адрес VPN сервер преобразует под свой , тот что серый в лок сети роутера или белый из под которого пользователь выходит в сеть?
Во первых вы не говорите строите ли тоннель от компьютера или от домашнего роутера, от этого будет зависеть точка терминации и нужно ли ему проходить через NAT.
В любом случае для соединения тоннелей нужны белые адреса и не важно будет это соединение с ПК прошедшее NAT и получившее таким образом белый адрес, или тоннель построенный с домашнего роутера у которого есть белый интерфейс(которого кстати может и не быть в случае CGNAT).
@@Networkisreachable извиняюсь, не уточнил,да,изначально предполагал,что это будет ПК за WI-FI роутером,и как я понял тунель будет строиться от роутера,где так сказать "начинается" белый адрес
тоннель стоится от ПК, но на оконечной точке сервера VPN, ему будет казаться что он работает с белым адресом роутера (за которым за NAT живёт ПК)@@Berseruke
@@Networkisreachable Ну то есть это похоже на заголовок GRE ,где серый IP инкапсулируется в GRE ,а поверх GRE появляется внешний(белый) IP в роли источника ,а в роли пункта назначения получается VPN сервер?
GRE это частный случай VPN без шифрования. Все верно, только у вас ещё и NAT присутсвует. @@Berseruke
+Plus
а где wireguard ?
Как появится в cisco - добавлю
А как же mplsl2/l3 vpn, e-vpn…
Это темы в рамках SP и DC и не попадают в базовую учебную программу. Но если вы нас обеспечите таким оборудованием, мы с удовольствием снимем ролики на эти темы :-)
OpenVPN, Fortinet, Hamachi, paloalto
Время бы на это всё, время :-)
@@Networkisreachable Золотые слова :)
l2tp/ipsec сервер настраивается за минуту с помощью скрипта, есть нативная поддержка в macos и windows, лучше не слушайте таких "специалистов"
Не понял я вообще методы pptp ,как куда что инкапсулируется,почему адрес в который инкапсулируется gre у нас внешний,когда вроде как по протоколу gre внешний адрес(gre tunnel) инкапсулирован в gre,который в свою очередь инкапсулирован в серый адрес,толь тут протокол ppp главнее и это его какие-то приколы ?
тут главное как организован канал. Протокол PPTP устарел и им почти не пользуются, а если пользуются то маршрутизаторы устанавливают внешнее соединение по бtлым адресам, а внутри летят пакеты серые для соединения филиалов, по инкапсуляции GRE.