Tunelowanie czy też po prostu VPNy to obszar technologii sieciowych, z którym prędzej czy później przyjdzie Ci się zetknąć. Rozpoczęcie pracy z VPNami wymaga w mojej opinii przede wszystkim dobrego zrozumienia koncepcji kryjących się za nimi. Gdy już raz się zrozumie tunele to wydają się one bardzo proste. Ale… siadając do lektury o nich po raz pierwszy można się równie dobrze poczuć bardzo przytłoczonym. Tym artykułem zamierzam zdjąć ten ciężar niewiedzy z Twoich barków. Chcesz się dowiedzieć czym są tunele VPN i w jaki sposób działają? Jesteś w dobrym miejscu!
Nie wyobrażam sobie lepszego początku dla tego artykułu niż po prostu… porozmawiać o ruchu tranzytowym z Kalifornii na Alaskę! 😀 Dobrze widzisz, to nie żart. Opisana przeze mnie sytuacja będzie rzecz jasna zupełnie wydumana, ale nie chodzi tu o wierne oddanie rzeczywistości. Zależy mi na wytłumaczeniu Ci złożonego konceptu sieciowego za pomocą zrozumiałych analogii ze świata rzeczywistego.
Na czym polega wirtualność VPNa?
Wyobraż sobie zatem, że mamy do czynienia z USPS czyli United States Postal Service. Nasza poczta ma dwa oddziały, jeden w Kalifornii (A) oraz drugi na Alasce (B):
W tym scenariuszu USA jako państwo pełni rolę naszej sieci. Kanada z kolei jako obce państwo jest obcą siecią. Widzimy zatem, że nasza sieć (USA) składa się z dwóch odseparowanych lokalizacji (Alaska nie ma połączenia z pozostałą częścią USA). W celu dotarcia z biura A do biura B musimy zatem przejechać przez obcą sieć (Kanadę).
No to w drogę
Z biura A wysyłamy zatem w drogę pudło cennych danych, które muszą dotrzeć do biura B. Pójdźmy z naszą analogią o krok dalej. Pojazd transportujący dane w celu dotarcia do miejsca docelowego uruchamia GPS, który niestety posiada jedynie mapę Stanów Zjednoczonych. Jest to wszakże nasza własna domena routingu, w której mamy uruchomiony OSPF 😉 Przez Kalifornię pojazd porusza się więc z góry wytyczoną trasą. Jedzie on od jednego skrzyżowania do drugiego (od routera do routera). Po każdym skrzyżowaniu wjeżdża na inną ulicę (fizyczne łącze sieciowe).
W ten oto sposób dojeżdżamy do granicy z Kanadą, czyli styku z obcą siecią dróg. Musimy teraz przejechać przez Kanadę aby dotrzeć do Alaski, ale niestety nasz GPS nie jest wyposażony w odpowiednie mapy. Jedziemy zatem kierując się znakami. Można to porównać do sytuacji, w której mamy do czynienia z routingiem opartym o EIGRP czy też RIP (wektor dystansu).
W końcu po długich godzinach jazdy udaje nam się dotrzeć do biura B. Cała droga przebiegła trasą zaznaczoną na czerwono:
Jak widać w Kanadzie było wiele alternatywnych tras, ale tamtejszy protokół routingu pokierował pojazd tym razem tak a nie inaczej. Czy jest dla nas ważne, żeby furgonetka z naszymi danymi przejechała akurat taką trasą? Nie. Istotne jest by dotatła ona do miejsca docelowego. Na dobrą sprawę nie mamy większego wpływu na to jaką trasą pojedzie nasz pojazd na terenie Kanady. Mogą się tam chociażby przytrafić roboty drogowe (awarie w sieci), które pozostają poza naszą kontrolą.
Upraszczamy
Mapa powyżej wygląda skomplikowanie więc zarząd USPS postanowił nieco sobie uprościć rysunek i plan tranzytu:
Całą drogę w obcej sieci zastąpiono pojedynczą linią. Wszakże nie mamy wpływu na to jak zostanie pokierowana nasza furgonetka na terenie obcego państwa. Czy ta linia odzwierciedla rzeczywistość? Nie. Czy ma to dla nasz znaczenie? Nie! Tak uproszczoną mapą najzwyczajniej w świecie wchodzimy na wyższy poziom abstrakcji. Ta abstrakcja to właśnie słowo virtual w całej frazie Virtual Private Network.
I dokładnie o to samo chodzi w połączeniach VPN. Na obrazku powyżej ruch w naszej sieci (niebieski) kończy się na przejściach granicznych. Są one niczym innym jak brzegami naszej sieci (USA). Przejścia graniczne możemy potraktować jak bramki VPN (gatewaye).
W momencie, w którym nasza furgonetka wjedzie na teren Kanady to możemy się już tylko modlić. O co? O to, że warunki w Kanadzie pozwolą jej dojechać na miejsce 🙂 A, że nie mamy wpływu na przebieg trasy to pokazujemy ją po prostu na mapie jedną, ciągłą, czerwoną linią. USPS woli sobie wyobrazić, że ruch tranzytowy przez Kanadę jest nadal częścią ich sieci. Na dodatek bardzo prostą cześcią – ot, linia prosta! Czy można ich winić za tak abstrakcyjne myślenie? Chyba nie 🙂
Kanada czyli… internet?
Przełóżmy teraz opisany scenariusz na nieco bardziej sieciowy rysunek. Można sobie wyobrazić całą tę sytuację następująco:
Czy koniecznie siecią tranzytową dla ruchu między oddziałami naszej firmy musi być Internet? Nie! Może to być sieć innej firmy (np. ISP), a w szczególnych przypadkach może to być nawet… nasza własna sieć. Dlaczego chcielibyśmy w ogóle coś takiego robić? Ano dlatego, że we frazie Virtual Private Network mamy słowo Private. Wiemy już co oznacza „wirtualność” połączenia VPNowego, a w osobnym artykule przyjrzymy się temu co liczy się o wiele częściej – czyli prywatności.
Proponuje rozbudowac artykuł jeszcze bardziej. Powstaje mnostwo nowych technologii (opartych o stare idee, IPSEC), ktore zle zastosowane powoduja ze transport drogowy zamiast \”napędzać\” gospodarke, zaczyna byc blokadą jej rozwoju. My jako inzynierowie \”budowy drog\” powinnismy zwraca uwage, nie tylko na jakosc asfaltu, wysokosc barier tlumiacych dzwieki, czy trwalosc farby którą pomalowano pasy. Problem z VPN to przede wszystkim dokumenty celne, ktore nakladane sa na granicy Kanady. Zeby zrozumiec, jak duzy to problem, trzeba wziac pod uwage, ze w Kanadzie zakazane zwykle jest poruszanie sie aut dostawczych na niektorych drogach. Przewozenie paczek przez obszar kanady autami osobowymi, to zwiekszenie zagrozenia dla zwierzat zamieszkujacych tereny, przez ktore biegna drogi, jak rowniez nadmierna emisja spalin.
Proponuje zatem napisanie ciekawego listu otwartego do milosnikow motoryzacji i firm kurierskich, ktory by zdjal dodatkowy ciezar niewiedzy z ich barkow, odnosnie zrozumienia kilku z podstawowych RFC dotyczacych tunelowania: rfc4459, rfc7588 i plus rfc8900
PS. Chetnie pomoge w takim artykule, jezeli zgodzicie sie udostepnic łamy swojego serwisu takiemu bajkopisarzowi, jak ja 😉
Ciekawy przyklad z ta Kanada :). Czekamy na ciag dalszy
Też się nie mogę doczekać 😂
Hej, świetny artykuł! Z chęcią bym przeczytał kolejną część o prywatności! 🙂
Hej Maciek! Dzięki za słowa uznania 🙂 Polecam zapisać się na newsletter – najlepszy sposób żeby nie przegapić kolejnych artykułów!
Zawsze lubiłem porównanie budowy sieci do budowania dróg.
Chyba najlepsza i najbardziej dopasowana analogia 🙂
Ciekawy artykuł, chętnie bym doczytał resztę 😉
Odnotowane Kuba ❤️