VPN: ещё раз просто о сложном

[impexp]

То, что я только что чуть не прочитал, точно предназначено для аудитории «Хабра», а не для журнала «Vogue»?

[Jump]

Вполне. Это раньше хабр был техническим ресурсом, где было много интересных статей по IT.
А сейчас вполне нормально читать статьи написанные эффективными менеджерами, которые что-то там слышали, толком не разобрались, но вполне могут красиво написать какую-нибудь фигню.

[jurok04]

Как пользоваться сторонними VPN сервисами (через приложение) понятно и ребенку. А ликбез для домохозяек на тему — как создать виртуальную сеть между включенным своим компьютером дома и своим смартфоном (при подключении смартфона к Wi-fi в кафе, метро и т.д.,), чтобы защитить приватные данные при пользовании Интернетом, в статье не найден и был бы здесь очень кстати.

[devopg]

кто контролирует раздачу ИП адесов?

[Sinapsakson]

барыги

[arskos]

А о чём статья?

[Tomasina]

Рассмотрим популярные VPN:

Пропущено слово «протоколы»?

[proea]

Можно было в статье затронуть современные типы VPN подключений. Например wireguard.

Кроме того рассматривать PPTP вообще не вижу смысла. Да и выпилен уже почти во всех современных ОС.

[Xobotun]

Кстати, о впнах и "просто о сложном". Может мне кто-нибудь, пожалуйста, разъяснить или показать, в какую сторону копать?

Кейс 1:
Есть выход в интернет через обычный роутер и через впн-тоннель в своей (или той же) подсети, на конце которого — другой маршрутизатор. В общем, сеть о двух шлюзах — один быстрый и рядом, другой — медленный и далеко.

Как трафик определяет маршрут до ресурса, если никаких bgp нет, и 0.0.0.0 виден с обоих шлюзов? Кажется, в институте что-то на эту тему было, но я до сих пор далёк от сетей.

Кейс 2:
Та же сеть, но интернет по ту сторону шлюзов разный: один выходит в отечественный роскомнадзор, другой — в забугорный. Как перенаправить трафик с обычного шлюза через впн в случае обнаружения заглушки? Я так понимаю, что тут есть два случая: мы знаем, что ip-адрес входит в список роскомнадзора (спасибо ValdikSS, например) и сразу перенаправляем трафик каким-то образом в шлюз со стороны впна. Второй случай — перехватываем сообщение прикладного уровня, например http-страницу заглушки, прогоняем её эвристиками — и идём через впн, если что-то сильно не так.
Вопросы:

1. Как и где прописать сонм этих единичных ip-адресов и подсетей, чтобы превентивно ходить через впн?
2. Это реализуемо средствами обычного роутера с линуксом? Или это потребует ещё и модификации клиента, чтобы он знал, что идёт через прокси-сервер? Или это не годится для мало-мальски быстрого пользования интернетом, поскольку здесь пахнет dpi, а он, как известно, прожорлив?

Кейс 3:
Другая сеть, без впна, но с тремя разными шлюзами ради отказоустойчивости. Первые два медленные, но с белым ip, и через них можно ходить на внутренние ресурсы. Третий — с серым ip, но с очень быстрой связью.
И ещё я помню что-то насчёт tcp-сессий. Вернее, только то, что они существуют.
Вопросы:

1. Что будут думать внешние клиенты, подключающиеся по http или ssh на один из белых ip, и получающие ответы с другого адреса? Мне кажется, что ничего хорошего, и будут дропать такие пакеты.
2. Наверняка можно навязать ресурсам внутри сети, чтобы они возвращали пакеты тем же путём, как их получили. Но что для этого надо? Достаточно ли указать что-то в настройках ОС или приложение должно само следить за этим? Или достаточно того, чтобы роутеры знали друг о друге?
3. Как перенаправлять весь трафик, исходящий изнутри сети и не вызванный внешними подключениями по быстрому серому каналу? Как сделать, чтобы когда скорости серого канала не хватило, часть других tcp-сессий перевесить на менее быстрый белый, или открывать новые сессии через него?

Кейс 4:
Те же три провода с интернетом из кейса 3, но воткнуты в один роутер. И 1..N компьютеров или нижестоящих ведомых хабов.
Как провернуть всё то же самое, но на одном роутере.

Как-то так. Если кто сможет уделить время и утолить моё любопытство, накопившееся за годы — буду признателен.

[apkotelnikov]

Попробуйте гугл в части «IP маршрутизация».

[apkotelnikov]

Вообще то нет :-)
#show running-config | include ip route 0
ip route 0.0.0.0 0.0.0.0 192.168.252.1
ip route 0.0.0.0 0.0.0.0 192.168.252.2

show ip route
Codes: L — local, C — connected, S — static, R — RIP, M — mobile, B — BGP
D — EIGRP, EX — EIGRP external, O — OSPF, IA — OSPF inter area
N1 — OSPF NSSA external type 1, N2 — OSPF NSSA external type 2
E1 — OSPF external type 1, E2 — OSPF external type 2
i — IS-IS, su — IS-IS summary, L1 — IS-IS level-1, L2 — IS-IS level-2
ia — IS-IS inter area, * — candidate default, U — per-user static route
o — ODR, P — periodic downloaded static route, H — NHRP, l — LISP
a — application route
+ — replicated route, % — next hop override

Gateway of last resort is 192.168.252.2 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] via 192.168.252.2
[1/0] via 192.168.252.1
192.168.252.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.252.0/24 is directly connected, Vlan1
L 192.168.252.251/32 is directly connected, Vlan1

Ну и чтобы были активны оба нужен ECMP

#show ip cef 1.1.1.1
0.0.0.0/0
nexthop 192.168.252.1 Vlan1
nexthop 192.168.252.2 Vlan1

[apkotelnikov]

Не совсем понял, что именно вам не понравилось? Без включенного Equal Cost MultiPath, действительно будет выбран только один. С включенным, как я показал ниже, не только в таблице маршрутизации, но и в CEF уже оба активны.

[Xobotun]

apkotelnikov AcidVenom Спасибо за ключевые слова и идеи, буду искать. :)

[JPEGEC]

Автор понимает о чем пишет?

Также в такой сети обеспечивается защита данных криптографическими средствами, попросту говоря, шифруется.

и ниже в «Рассмотрим популярные VPN:»

PPTP Нет шифрования по умолчанию

L2TP не предполагает шифрования по умолчанию

[dbalabanov]

использовать встроенный в Opera VPN

у меня так и не заработал.
ЧЯДНТ?

[Alexey2005]

В нынешних условиях самое сложное — найти способ за этот VPN заплатить. Чтоб обходить блокировки, сервис-то должен находиться где-то за пределами России.