Un túnel és un dispositiu de xarxa la finalitat del qual és encapsular un protocol a dins d'un altre.

Per exemple, podem col·locar datagrames IP encriptats dins d'una sessió TCP, o IP dins de paquets UDP, o datagrames IP qualssevol dins d'altres datagrames IP, o coses més exòtiques com ara IP dins d'ICMP...

Molt bonic, però per què ens pot servir això?

A vegades és convenient establir un enllaç lògic entre una màquina i una altra de manera que puguem manipular les taula de rutes de forma específica per aquesta connexió.

En general, ens interessarà quan vulguem poder ajuntar dos segments de xarxa disjunts (ex: 192.168.0.0/24 i 192.168.10.0/24) a través d'una tercera xarxa (típicament Internet) a la qual estan connectades almenys una màquina de cada segment (ie, màquina 1 té una adreça d'inet i una ip dins de 192.168.0.0/24, màquina 2 també té una adreça d'inet i una ip dins de 192.168.10.0/24).

Hi ha moltes maneres, com he dit, de fer això, depenent principalment de:

- Protocol de transport: IP a seques, sessions TCP, datagrames UDP, datagrames ICMP...
- Seguretat: El paquet encapsulat pot estar encriptat o sense encriptar ni autenticar

Els casos que més ens interessaran a nosaltres són:

1) Protocol de transport TCP o UDP + Seguretat == OpenVPN. Utilitza una clau simètrica que per defecte té 2048 bits i encriptació per SSL (la mateixa de les pàgines web que comencen amb https), implementant múltiples algorismes.

En aquesta mateixa web, teniu aquest article d'en Ramon: http://www.comesfa.org/node/743

També podeu veure com es fa un túnel amb certificats en aquest article d'en Carles Bruguera: http://www.comesfa.org/ca/node/3278

Per una altra visió (i altres conceptes sobre tunneling) podeu mirar la presentació: http://www.iglu-cat.net/~fitxerspublics/Xerrada-OpenVPN-lasker.pdf.

2) Protocol de transport: IP, sense seguretat: túnels ip-ip o gre. La manera d'implementar-los en dos linux és força senzilla: només depèn de l'existència del mòdul ip_gre al kernel.

Passant a un cas concret: suposem que tenim la màquina 1 en un cantó de guifi.net (ip 10.138.123.123), i la màquina 2 en una altra banda, també dins de guifi (ip 10.138.241.5).
La màquina 2 disposa de connexió a internet i volem poder-la utilitzar, fent NAT.

El procediment per muntar això seria el següent:

modprobe ip_gre (a banda i banda)

Màquina 1: (guifi 10.138.123.123)

ip tunnel add tun0 mode gre remote 10.138.241.5 local 10.138.123.123 ttl 255
ip link set tun0 up
ip addr add 10.0.1.1 dev tun0
ip route add 10.0.2.0/24 dev tun0
ip route del default
ip route add 10.138.0.0/16 via 10.138.x.x (adreça del linksys on
l'ordinador està de client)
ip route add default via 10.0.2.1

Màquina 2: (guifi 10.138.241.5 + LAN amb sortida a inet)

ip tunnel add tun0 mode gre remote 10.138.123.123 local 10.138.241.5 ttl 255
ip link set tun0 up
ip addr add 10.0.2.1 dev tun0
ip route add 10.0.1.0/24 dev tun0
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t NAT -s 10.0.0.0/16 -d 0/0 -j MASQUERADE

Si la màquina 1 a més també està en una LAN i ha de fer de router (per aprofitar el túnel amb altres màquines que hi estiguin connectades), hem de posar-hi també ip_forward a 1.

Noti's que la major dificultat en tot aquest tema acostuma a ser establir les rutes correctament, fer masquerading/nat, protegir amb iptables, etc...

Una bona referència al respecte és el Linux Advanced Routing and Traffic Control Howto (http://www.lartc.org)

Windows implementa nativament també el protocol PPTP, que és com una connexió d'aquest segon tipus (utilitza GRE a baix nivell) però que a més pot implementar encriptació i autenticació. Per més informació: http://www.comesfa.org/ca/node/1883

Update: corregeixo el comentari sobre el PPTP.