Проверить количество узлов в VPN-решении?

Question

[Игорь]

Есть некоторый сервис, который продаёт VPN доступ. Кое-какие из его конфигов обеспечивают (по заявлениям авторов) двойной или даже тройной VPN. Т.е. траффик проходит не через 1 комп, а через 2 или 3.


Трассировка при двойном VPN выглядит так:

traceroute www.google.com

traceroute to www.google.com (74.125.232.114), 30 hops max, 60 byte packets

1 10.109.0.1 (10.109.0.1) 84.353 ms 84.717 ms 85.308 ms

2 10.44.0.2 (10.44.0.2) 105.693 ms 105.782 ms 167.623 ms

3 mil01s07-in-f18.1e100.net (74.125.232.114) 167.632 ms 167.639 ms 167.639 ms

при этом конфиг клиента OpenVPN выглядит так:

client


dev tun


proto tcp-client


remote-random


remote 106.4.72.192 5624




remote 25.75.73.197 5622




remote 82.17.86.249 5624




tls-auth keys/ta.key 1


ca keys/ca.crt


cert keys/client.crt


key keys/client.key


ns-cert-type server


resolv-retry infinite


nobind


persist-key


persist-tun


reneg-sec 0


redirect-gateway def1


keysize 256


comp-lzo


verb 1


log-append log/Double_VPN.log


status log/Double_VPN-status.log


script-security 2


auth-nocache


auth-user-pass


#auth-user-pass auth


up scripts/se1_up


down scripts/down

т.е. в конфиге указано 3 сервера, а по трассировке вижу 2 (третий — сам гугл)


а вот какая картина для тройного VPN:

traceroute to www.google.com (74.125.157.99), 30 hops max, 60 byte packets

1 10.61.0.1 (10.61.0.1) 86.444 ms 86.464 ms 86.461 ms

2 * * *

3 10.25.0.2 (10.25.0.2) 255.967 ms 256.218 ms 256.383 ms

4 gy-in-f99.1e100.net (74.125.157.99) 309.563 ms 397.874 ms 396.985 ms

и для него конфиг имеет вид:

client


dev tun


proto tcp-client


remote-random


remote 85.3.46.111 5600




##remote 86.71.34.111 5602


#


tls-auth keys/ta.key 1


ca keys/ca.crt


cert keys/client.crt


key keys/client.key


ns-cert-type server


resolv-retry infinite


nobind


persist-key


persist-tun


reneg-sec 0


redirect-gateway def1


keysize 256


comp-lzo


verb 1


log-append log/Triple-VPN.log


status log/Triple-VPN-status.log


script-security 2


auth-nocache


#auth-user-pass


auth-user-pass auth


up scripts/pa1_up


down scripts/down

т.е. тут в конфиге указано 2 сервера.


Может кто прокомментировать где в итоге двойной VPN а где тройной?

Answer 1

[kolobob]

Во втором конфиге указан один сервер, сколь я вижу.
В первом же играет роль опция remote-random, которая нужна для балансировки нагрузки на сервера. Она делает так, что Вы каждый раз подключаетесь к «случайному» серверу из указанных в remote.

Я так и не понял, что подразумевается под «тройным» и «двойным» ВПНами. Если VPN внутри VPN, то это одно. В этом случае, сколь я помню, в трассировке Вы не должны увидеть ничего, кроме начальной и конечной точки «самой внутренней» сети VPN. Если Вы увидите «внешние слои», это плохо.

Если же под этим подразумевается балансировка, то тройной — первый, ибо там три сервера ждут подключения, а двойной — второй, если раскомментировать строку ##remote 86.71.34.111 5602. Но это так не называется.

Если же имеются в виду три хоста, через которые последовательно проходит трафик, то двойной — первый. Потому что в данном случае хопы мы видеть теоретически можем, и в первой трассировке ясно видим, что их два. Методом исключения получаем, что второй конфиг — тройной ВПН.
Но это все вилами по воде. Наверняка что-то сказать можно, посмотрев на их сервера изнутри.

Answer 2

[ValdikSS]

Двойной и тройной впн делается не средствами конфига, а средствами туннелирования от одного впн сервера к другому, это настраивает администратор и вы это менять не можете.