Quina diferència hi ha entre un túnel i una VPN?

Una VPN és una aplicació de túnel. El túnel és el mecanisme d'encapsulació; la VPN és el producte construït al seu voltant (gestió de claus, configuració, etc.). Totes les VPN són túnels, però no tots els túnels són VPN: una sessió TLS és tècnicament un túnel, un port-forward SSH és un túnel, una subposició MPLS L3VPN utilitza túnels.

Per què el TCP-over-TCP és dolent?

Dos temporitzadors de retransmissió es barallen entre ells. Quan els paquets cauen, tant el TCP interior com l'exterior tornen a intentar-ho. La finestra de congestió interna creix més enllà del buffer exterior, la latència augmenta de manera exponencial, el rendiment es col·lapsa. És tolerable en entorns de baixes pèrdues; a les xarxes amb pèrdues, és la pitjor configuració de VPN possible. Utilitzeu el túnel basat en UDP sempre que la xarxa ho permeti.

Pot un tallafoc detectar sempre un túnel?

DPI modern pot identificar signatures de túnel comunes (OpenVPN, encaixades de mans WireGuard). Les eines d'ofuscament embolcallen els túnels perquè semblin HTTPS normals o altres protocols permesos. La carrera armamentística és constant. Per a xarxes no hostils, les regles bàsiques del tallafoc no inspeccionen prou a fons per identificar els túnels pel contingut.

Tècnicament sí. HTTPS embolcalla HTTP dins de TLS. La relació és estructuralment idèntica a la que OpenVPN embolcalla el trànsit IP arbitrari dins de TLS. La línia entre "protocol" i "túnel" és sobretot una qüestió de terminologia; Normalment, HTTPS no s'anomena túnel perquè els protocols interior i exterior estan dissenyats per funcionar conjuntament, però el mecanisme d'encapsulació és el mateix.

Quin protocol de túnel he de triar per a una VPN?

Per a ús modern de consumidors o empreses: WireGuard. Per a xarxes restrictives: OpenVPN-TCP/443 amb ofuscació TLS. Per a iOS/macOS nadius sense clients de tercers: IKEv2/IPsec. Eviteu PPTP (trencat) i eviteu L2TP nu (utilitzeu IKEv2/IPsec).

S'han explicat els protocols de túnel: com un protocol n'embolica un altre

Un protocol de túnel pren paquets d'un protocol i els embolcalla dins dels paquets d'un altre. Així és com funcionen les VPN, com IPv6 va arribar al món a través d'Internet IPv4, com les xarxes corporatives abasten continents i com SSH us permet arribar a la vostra xarxa domèstica a través d'un tallafoc d'hotel. Aquest és l'explicació de què és realment el túnel i els protocols que importen.

El cos complet de l'article es proporciona en anglès a continuació.

El protocol de túnel idea

A central pren un paquet d'un protocol, l'embolica dins de la càrrega útil d'un altre protocol i envia el resultat a través d'una xarxa que normalment no portaria l'original. L'embolcall s'anomena encapsulation. El paquet embolicat viatja a través d'una xarxa que només entén el protocol extern i es desembolica a l'extrem.

Pràcticament: un paquet IPv6 embolicat dins d'un paquet IPv4 pot creuar xarxes només IPv4. Una trama Ethernet embolicada dins d'un paquet IP pot viatjar a través d'Internet pública entre dues LAN. Una connexió TCP embolicada dins d'HTTPS pot passar a través d'un tallafoc que només permet el port 443.

Per què existeix el túnel

Protocol bridging: executeu un nou protocol en xarxes que no l'admeten de forma nativa. IPv6 sobre IPv4 (Teredo, 6in4) és l'exemple clàssic.
Security: embolcalla un protocol insegur dins d'un de xifrat. SMB a través de SSH, HTTP senzill sobre TLS (= HTTPS), trànsit corporatiu a través de IPsec.
Virtualització de la xarxa: feu que dues xarxes físicament separades es comportin com una. Tailscale, ZeroTier, MPLS L3VPN, VXLAN: tots utilitzen túnels sota el capó.
Travessament del tallafoc: embolcalla els protocols bloquejats dins dels permesos. OpenVPN-over-TCP/443 sembla HTTPS a un tallafoc que bloqueja tota la resta.
Accés remot: doneu a un empleat fora del lloc una adreça IP dins de la xarxa corporativa. La VPN corporativa és estructuralment un túnel.

Els principals protocols de túnel

Centrat en VPN

WireGuard: modern, ràpid i opinió. Només UDP.
OpenVPN — flexible, basat en TLS, s'executa sobre TCP o UDP. Es pot amagar com a HTTPS.
IKEv2/IPsec — l'opció mòbil/empresa nativa.
L2TP/IPsec —l'herència doble, heretada, doble. slow.
PPTP: històricament comú, definitivament trencat el 2012.
SSTP: protocol VPN túnel TLS de Microsoft, origen només per a Windows i origen Windows-PLZ8PLZXXPLZ-IP8XPLZ1Z78XSSTP. friends
- GRE (encapsulació d'encaminament genèric) — Desenvolupat per Cisco, porta protocols arbitraris de capa de xarxa dins d'IP. Base per a moltes configuracions de VPN empresarials i la capa subjacent L3 per a coses com NVGRE.
- IP-in-IP: el cas més senzill, només embolicar un paquet IP dins d'un altre. RFC 2003.
- Teredo — Tunelització IPv6 sobre IPv4 per a amfitrions darrere de NAT. Microsoft-developed.
- 6in4: túnels IPv6 sobre IPv4 configurats manualment, sovint utilitzats pels serveis de corredor de túnels.
- 4in6: la direcció oposada, IPv4 IPv6.
Superposicions del centre de dades
- VXLAN — LAN virtual extensible. Embolica trames Ethernet dins d'UDP. El protocol de superposició dominant als centres de dades moderns.
- GENEVE: un competidor més nou i més flexible de VXLAN. S'utilitza en alguns subjacents de proveïdors de núvol.
- NVGRE — La variant de Microsoft basada en GRE.
SSH túnels
SSH admet tres modes de reenviament de ports locals a través d'un port remot a través de SSH: reenviament (al revés) i proxy SOCKS dinàmic (utilitza SSH com a servidor intermediari SOCKS5 general). Totes les variants de tunelització: SSH embolcalla el trànsit TCP arbitrari al seu canal xifrat. L'ordre clàssic ssh -L 5432:database.internal:5432 jumpbox és un túnel.
HTTP/HTTPS tunnels
Per a xarxes corporatives que només permeten el port de sortida 443, eines com ara PLZ13X httptunnel i Cloudflare Tunnel embolcallen TCP arbitrari dins de sol·licituds HTTP CONNECT o connexions WebSocket. Menys eficient que les connexions directes; elusió d'últim recurs fiable.
La fusió de TCP sobre TCP
L'error operatiu més comú en el desplegament de VPN. Quan túnel una connexió TCP dins d'una altra connexió TCP (per exemple, OpenVPN-TCP que porta HTTPS d'un usuari), els temporitzadors de retransmissió two estan ara en joc. Quan es produeix la pèrdua de paquets, ambdues capes intenten retransmetre. La finestra de congestió del TCP interior s'expandeix; els buffers del TCP extern no poden mantenir-se al dia. La latència augmenta de manera exponencial.
Per això WireGuard només és UDP i per això es prefereix OpenVPN-UDP a OpenVPN-TCP sempre que la xarxa ho permet. OpenVPN-TCP és una compensació deliberada per al cas específic en què el recorregut del tallafoc importa més que el rendiment.
L'angle de seguretat
Tunneling és moralment neutral. El programari maliciós pot utilitzar les mateixes tècniques que permeten a la vostra VPN corporativa protegir els empleats remots per exfiltrar dades a través de túnels DNS o túnels HTTPS que semblen trànsit normal. Els equips de seguretat empresarial fan un esforç important per detectar túnels hostils mitjançant DPI, anàlisi de flux i aplicació de polítiques als punts de sortida.
La regla estàndard: un túnel és exactament tan segur com el seu protocol intern més el seu protocol exterior i el model d'amenaça de l'operador. OpenVPN túnel HTTP simple no fa HTTP segur a la destinació; fa que la connexió entre el client i el servidor OpenVPN sigui segura.
Com verificar que un túnel funciona
1. Comproveu que el trànsit surti per on espereu: la nostra cerca IP mostra la IP de sortida i la geolocalització.

Preguntes freqüents

Quina diferència hi ha entre un túnel i una VPN?: Una VPN és una aplicació de túnel. El túnel és el mecanisme d'encapsulació; la VPN és el producte construït al seu voltant (gestió de claus, configuració, etc.). Totes les VPN són túnels, però no tots els túnels són VPN: una sessió TLS és tècnicament un túnel, un port-forward SSH és un túnel, una subposició MPLS L3VPN utilitza túnels.
Per què el TCP-over-TCP és dolent?: Dos temporitzadors de retransmissió es barallen entre ells. Quan els paquets cauen, tant el TCP interior com l'exterior tornen a intentar-ho. La finestra de congestió interna creix més enllà del buffer exterior, la latència augmenta de manera exponencial, el rendiment es col·lapsa. És tolerable en entorns de baixes pèrdues; a les xarxes amb pèrdues, és la pitjor configuració de VPN possible. Utilitzeu el túnel basat en UDP sempre que la xarxa ho permeti.
Pot un tallafoc detectar sempre un túnel?: DPI modern pot identificar signatures de túnel comunes (OpenVPN, encaixades de mans WireGuard). Les eines d'ofuscament embolcallen els túnels perquè semblin HTTPS normals o altres protocols permesos. La carrera armamentística és constant. Per a xarxes no hostils, les regles bàsiques del tallafoc no inspeccionen prou a fons per identificar els túnels pel contingut.
HTTPS és un túnel?: Tècnicament sí. HTTPS embolcalla HTTP dins de TLS. La relació és estructuralment idèntica a la que OpenVPN embolcalla el trànsit IP arbitrari dins de TLS. La línia entre "protocol" i "túnel" és sobretot una qüestió de terminologia; Normalment, HTTPS no s'anomena túnel perquè els protocols interior i exterior estan dissenyats per funcionar conjuntament, però el mecanisme d'encapsulació és el mateix.
Quin protocol de túnel he de triar per a una VPN?: Per a ús modern de consumidors o empreses: WireGuard. Per a xarxes restrictives: OpenVPN-TCP/443 amb ofuscació TLS. Per a iOS/macOS nadius sense clients de tercers: IKEv2/IPsec. Eviteu PPTP (trencat) i eviteu L2TP nu (utilitzeu IKEv2/IPsec).

El protocol de túnel idea

Per què existeix el túnel

Els principals protocols de túnel

Centrat en VPN

Superposicions del centre de dades

SSH túnels

HTTP/HTTPS tunnels

La fusió de TCP sobre TCP

L'angle de seguretat

Com verificar que un túnel funciona

Preguntes freqüents