Ky6uk's Blog

Имеем задачу: организовать безопасное соединение между двумя удаленными узлами сети. Сделать это можно с помощью VPN между этими узлами. Для решения подобных задач существует множество протоколов, таких как PPTP, GRE, L2TP, IPSec, PPPoE, OpenVPN и т.п..

Лично мне для решения этой задачи знакомый сисадмин посоветовал использовать VTun. Так как на обоих узлах в качестве ОС установлен Linux, то VTun будет удобным и простым решением.

В возможности VTun входит шифрование трафика, шейпинг, компрессия. Из вариантов туннелирования VTun поддерживает IP (tun), Ethernet (ether), tty и pipe туннели. Всего вышеперечисленного более чем достаточно для решения задачи. В дополнении к возможностям, VTun крайне прост в настройке, которая состоит из одного единственного конфигурационного файла.

И так, приступим. Первый узел — компьютер с Debian 5.0 на борту, на втором установлена Ubuntu Server 10.04. И там, и там в репозиториях есть VTun версии 3.0.2 и ядро, включающее в себя драйвер виртуального tun-интерфейса.

Установим vtun на обеих машинах консольной командой

~$ sudo aptitude install vtun

Теперь сконфигурируем один компьютер как vtun-сервер, а другой как vtun-клиент. Первому условно дадим имя «SERVER», второму «CLIENT», — так будет понятнее.

SERVER

Файл конфигурации /etc/vtund.conf

# глобальные настройки
options {
    ifconfig /sbin/ifconfig; # путь до утилиты ifconfig
}

# конфигурация хоста (client - название)
# название хоста на клиенте и сервере должны совпадать
client {
    encrypt yes;    # включаем шифрование соединения
    compress no;    # отключаем сжатие трафика
    passwd secret;  # пароль для авторизации клиента
    type tun;       # тип туннеля (в данном случае IP-туннель)
    keepalive yes;  # поддерживаем соединение
    stat yes;       # включаем учет статистики интерфейса
    proto udp;      # используемый протокол

    # список команд, запускаемых после создании туннеля
    up {
        # прописываем настройки интерфейса, %% - имя интерфейса
        ifconfig "%% 192.168.200.1 pointopoint 192.168.200.2";
    };

    # список команд, запускаемых после отключении туннеля
    down {
        ifconfig "%% down"; # опускаем интерфейс
    };
}

Файл конфигурации /etc/default/vtun

# указываем, что vtun должен запускаться как демон
RUN_SERVER=yes

CLIENT

Файл конфигурации /etc/vtund.conf

options {
    ifconfig /sbin/ifconfig;
}

client {
    passwd secret; # пароль
    persist yes;   # пытаться подключиться при потере соединения

    up {
        ifconfig "%% 192.168.200.2 pointopoint 192.168.200.1";
    };

    down {
        ifconfig "%% down";
    };
}

Файл конфигурации /etc/default/vtun

CLIENT0_NAME=client     # имя клиента
CLIENT0_HOST=server.tld # реальный адрес vtun-сервера

Как видно выше, конфиги получились очень простые. Для лучшего понимания я добавил комментарии. Дополнительную информацию по настройке VTun всегда можно получить из документации.

После того как конфигурация будет окончена необходимо запустить vtun на обеих машинах командой

~$ sudo invoke-rc.d vtun start

На сервере и клиенте появятся виртуальные интерфейсы tun0 с адресами 192.168.200.1 и 192.168.200.2 соответственно.

Интерфейсы появились, адреса назначены — VPN работает как надо. Теперь можно работать с удаленным узлом через виртуальный интерфейс tun0, используя присвоенный ему IP-адрес.

Таким образом, с помощью VTun можно создавать большие и сложные виртуальные сети, объединять в одну большую сеть разрозненные локальные и так далее. Возможно, в следующей статье я напишу об объединении нескольких локальных сетей в одну большую виртуальную. Следите за обновлениями.

•