З лістоў у службу тэхпадтрымкі Tucha нараджаюцца сапраўдныя артыкулы. Так, нядаўна да нас звярнуўся кліент з запытам растлумачыць, што адбываецца пры злучэннях усярэдзіне VPN-тунэля паміж офісам карыстача і асяроддзем у воблаку, а таксама пры злучэннях па-за VPN-тунэлем. Таму ўвесь тэкст, прыведзены ніжэй, - гэта рэальны ліст, які мы адправілі аднаму з кліентаў у адказ на яго пытанне. Вядома, змянілі IP-адрасы, каб не дэананімізаваць кліента. Але, так, служба тэхнічнай падтрымкі Tucha сапраўды славіцца сваімі разгорнутымі адказамі і змястоўнымі лістамі. 🙂
Вядома, мы разумеем, што для многіх гэты артыкул не стане адкрыццём. Але, паколькі на Habr час ад часу з'яўляюцца артыкулы для пачаткоўцаў адміністратараў, а таксама з прычыны таго, што гэты артыкул з'явіўся з рэальнага ліста рэальнаму кліенту, мы ўсё ж падзелімся гэтай інфармацыяй і тут. Ёсць вялікая верагоднасць, што камусьці яна будзе карысная.
Таму падрабязна тлумачым, што адбываецца паміж серверам у воблаку і офісам, калі яны аб'яднаны site-to-site сеткай. Адзначым, што пры гэтым частка сэрвісаў даступная толькі з офіса, а частка - адкуль заўгодна з сеткі Інтэрнэт.
Адразу растлумачым, што наш кліент пажадаў, каб на сервер 192.168.A.1 можна было адкуль заўгодна прыходзіць па RDP, падлучаючыся да AAA2:13389, а да астатніх службаў - толькі з офіса (192.168.B.0/24), падлучанага праз VPN. Таксама ў кліента было настроена першапачаткова, што да машыны 192.168.B.2 у офісе таксама можна было хадзіць па RDP адкуль заўгодна, падлучаючыся да BBB1:11111. Мы дапамаглі арганізаваць IPSec-злучэнні паміж воблакам і офісам, і ІТ-спецыяліст заказчыка пачаў задаваць пытанні аб тым, што будзе ў тым ці іншым выпадку. Каб адказаць на ўсе гэтыя пытанні, мы, уласна, і напісалі яму ўсё тое, што вы можаце прачытаць ніжэй.
А зараз разгледзім гэтыя працэсы больш падрабязна.
Пазіцыя першая
Калі нешта адпраўляецца з 192.168.Б.0/24 в 192.168.A.0/24 або з 192.168.A.0/24 в 192.168.Б.0/24, яно трапляе ў VPN. Гэта значыць гэты пакет дадаткова зашыфроўваецца і перадаецца паміж BBB1 и AAA1, Але 192.168.A.1 бачыць пакет менавіта ад 192.168.B.1. Яны могуць размаўляць паміж сабой па любых пратаколах. Зваротныя адказы сапраўды гэтак жа перадаюцца праз VPN, значыць, пакет з 192.168.A.1 для 192.168.B.1 будзе адпраўлены як ESP-датаграма з AAA1 на BBB1, якую на тым баку маршрутызатар разгорне, дастане з яе той пакет і аддасць на 192.168.B.1 як пакет ад 192.168.A.1.
Канкрэтны прыклад:
1) 192.168.B.1 звяртаецца да 192.168.A.1, хоча ўсталяваць TCP-злучэнне з 192.168.A.1:3389;
2) 192.168.B.1 адпраўляе запыт на ўсталяванне злучэння ад 192.168.B.1:55555 (нумар порта для зваротнай сувязі выбірае ён сам, тут і далей будзем выкарыстоўваць нумар 55555 як прыклад такога нумара порта, які сістэма выбірае пры фармаванні TCP-злучэнні) на 192.168.A.1:3389;
3) аперацыйная сістэма, якая працуе на кампутары з адрасам 192.168.B.1, вырашае перадаць гэты пакет на шлюзавы адрас маршрутызатара (192.168.B.254 у нашым выпадку), таму што іншых, больш спецыфічных маршрутаў для 192.168.A.1, у яе няма, такім чынам, яна перадае пакет па маршруце па змаўчанні (0.0.0.0/0);
4) для гэтага яна спрабуе знайсці MAC-адрас для IP-адраса 192.168.B.254 у кэш-табліцы пратаколу ARP. Калі ён не знойдзены, адпраўляе з адрасу 192.168.B.1 шырокавяшчальны who-has запыт да сеткі 192.168.Б.0/24. калі 192.168.B.254 у адказ адпраўляе ёй свой MAC-адрас, сістэма перадае Ethernet-пакет для яе і заносіць гэтую інфармацыю ў сваю кэш-табліцу;
5) маршрутызатар прымае гэты пакет і вырашае, куды яго перадаць: у яго прапісана палітыка, паводле якой ён павінен усе пакеты паміж 192.168.Б.0/24 и 192.168.A.0/24 перадаваць па VPN-злучэнні паміж BBB1 и AAA1;
6) маршрутызатар фармуе ESP-датаграму ад BBB1 на AAA1;
7) маршрутызатар вырашае, каму перадаць гэты пакет, ён адпраўляе яго на, скажам, BBB254 (шлюз інтэрнэт-правайдэра), таму што больш спецыфічных маршрутаў да AAA1, чым 0.0.0.0/0, у яго няма;
8) сапраўды гэтак жа, як ужо было сказана, ён знаходзіць MAC-адрас для BBB254 і перадае пакет на шлюз інтэрнэт-правайдэра;
9) інтэрнэт-правайдэры перадаюць па сваіх сетках ESP-датаграму ад BBB1 на AAA1;
10) віртуальны маршрутызатар на AAA1 прымае гэтую датаграму, расшыфроўвае яе і атрымлівае пакет ад 192.168.B.1:55555 для 192.168.A.1:3389;
11) віртуальны маршрутызатар правярае, каму яго перадаць, знаходзіць у табліцы маршрутызацыі сетку 192.168.A.0/24 і адпраўляе яго напрамую да 192.168.A.1, паколькі мае інтэрфейс 192.168.A.254/24;
12) для гэтага віртуальны маршрутызатар знаходзіць MAC-адрас для 192.168.A.1 і перадае яму гэты пакет праз віртуальную Ethernet-сетку;
13) 192.168.A.1 атрымлівае гэты пакет на порт 3389, згаджаецца ўсталяваць злучэнне і фармуе пакет у адказ ад 192.168.A.1:3389 на 192.168.B.1:55555;
14) яго сістэма перадае гэты пакет на шлюзавы адрас віртуальнага маршрутызатара (192.168.A.254 у нашым выпадку), таму што іншых, больш спецыфічных маршрутаў для 192.168.B.1, у яе няма, такім чынам, яна павінна перадаць пакет па маршруце па змаўчанні (0.0.0.0/0);
15) гэтак жа, як і ў папярэдніх выпадках, сістэма, якая працуе на серверы з адрасам 192.168.A.1, знаходзіць MAC-адрас 192.168.A.254, паколькі той знаходзіцца ў адной сетцы з яе інтэрфейсам 192.168.A.1/24;
16) віртуальны маршрутызатар прымае гэты пакет і вырашае, куды яго перадаць: у яго прапісана палітыка, паводле якой ён павінен усе пакеты паміж 192.168.A.0/24 и 192.168.Б.0/24 перадаваць па VPN-злучэнні паміж AAA1 и BBB1;
17) віртуальны маршрутызатар фармуе ESP-датаграму ад AAA1 для BBB1;
18) віртуальны маршрутызатар вырашае, каму перадаць гэты пакет, адпраўляе яго на AAA254 (шлюз інтэрнэт-правайдэра, у гэтым выпадку, гэта таксама мы), таму што больш спецыфічных маршрутаў да BBB1, чым 0.0.0.0/0, у яго няма;
19) інтэрнэт-правайдэры перадаюць па сваіх сетках ESP-датаграму з AAA1 на BBB1;
20) маршрутызатар на BBB1 прымае гэтую датаграму, расшыфроўвае яе і атрымлівае пакет ад 192.168.A.1:3389 для 192.168.B.1:55555;
21) ён разумее, што яго варта перадаць менавіта на 192.168.B.1, паколькі той знаходзіцца з ім у адной сетцы, такім чынам, у таго ёсць у табліцы маршрутызацыі адпаведны запіс, якая змушае яго адпраўляць пакеты для ўсёй 192.168.Б.0/24 напрамую;
22) маршрутызатар знаходзіць MAC-адрас для 192.168.B.1 і перадае яму гэты пакет;
23) аперацыйная сістэма на кампутары з адрасам 192.168.B.1 прымае пакет ад 192.168.A.1:3389 для 192.168.B.1:55555 і ініцыюе наступныя крокі для ўсталявання TCP-злучэнні.
У гэтым прыкладзе дастаткова сціснута і спрошчана (а тут можна ўспомніць яшчэ кучу дэталяў) апісана, што адбываецца на ўзроўнях 2-4. Узроўні 1, 5-7 не разгледжаны.
Пазіцыя другая
Калі з 192.168.Б.0/24 нешта адпраўляецца менавіта на AAA2, яно ідзе не ў VPN, а напрамую. Гэта значыць, калі карыстальнік з адрасу 192.168.B.1 звяртаецца да AAA2:13389, гэты пакет націцца з адрасу BBB1, праходзіць на AAA2, а там маршрутызатар яго прымае і перадае на 192.168.A.1. 192.168.A.1 не ведае нічога пра 192.168.B.1, ён бачыць пакет ад BBB1, паколькі той яго панаціў. Таму адказ на гэты запыт ідзе па агульным маршруце, ён сапраўды гэтак жа націцца з адраса. AAA2 і ідзе на BBB1, а той маршрутызатар гэты адказ аддае на 192.168.B.1, той бачыць адказ ад AAA2, да якога ён і звяртаўся.
Канкрэтны прыклад:
1) 192.168.B.1 звяртаецца да AAA2, хоча ўсталяваць TCP-злучэнне з AAA2:13389;
2) 192.168.B.1 адпраўляе запыт на ўсталяванне злучэння ад 192.168.B.1:55555 (гэты нумар, як і ў папярэднім прыкладзе, можа быць іншым) на AAA2:13389;
3) аперацыйная сістэма, якая працуе на кампутары з адрасам 192.168.B.1, вырашае перадаць гэты пакет на шлюзавы адрас маршрутызатара (192.168.B.254 у нашым выпадку), таму што іншых, больш спецыфічных маршрутаў для AAA2, у яе няма, а значыць, яна перадае пакет па маршруце па змаўчанні (0.0.0.0/0);
4) для гэтага яна, як мы і згадвалі ў папярэднім прыкладзе, спрабуе знайсці MAC-адрас для IP-адраса 192.168.B.254 у кэш-табліцы пратаколу ARP. Калі ён не знойдзены, адпраўляе з адрасу 192.168.B.1 шырокавяшчальны who-has запыт да сеткі 192.168.Б.0/24. калі 192.168.B.254 у адказ адпраўляе ёй свой MAC-адрас, сістэма перадае Ethernet-пакет для яе і заносіць гэтую інфармацыю ў сваю кэш-табліцу;
5) маршрутызатар прымае гэты пакет і вырашае, куды яго перадаць: у яго прапісана палітыка, паводле якой ён павінен націць (падмяняючы зваротны адрас) усе пакеты ад 192.168.Б.0/24 да іншых вузлоў сеткі Інтэрнет;
6) паколькі гэтая палітыка мае на ўвазе, што зваротны адрас пры гэтым павінен супадаць з малодшым адрасам на інтэрфейсе, праз які будзе перададзены гэты пакет, маршрутызатар спачатку вырашае, каму менавіта перадаць гэты пакет, а ён, як і ў папярэднім прыкладзе, павінен адправіць яго на BBB254 (шлюз інтэрнэт-правайдэра), таму што больш спецыфічных маршрутаў да AAA2, чым 0.0.0.0/0, у яго няма;
7) такім чынам, маршрутызатар падмяняе зваротны адрас пакета, з гэтага часу пакет ад BBB1:44444 (нумар порта, вядома, можа быць іншым) на AAA2:13389;
8) маршрутызатар запамінае, што ён зрабіў, значыць, калі ад AAA2:13389 к BBB1:44444 паступіць адказ, ён будзе ведаць, што яму трэба змяніць адрас і порт атрымальніка на 192.168.B.1:55555.
9) зараз маршрутызатар павінен перадаць яго да сеткі інтэрнэт-правайдэра праз BBB254, такім чынам, сапраўды гэтак жа, як мы ўжо згадвалі, ён знаходзіць MAC-адрас для BBB254 і перадае пакет на шлюз інтэрнэт-правайдэра;
10) інтэрнэт-правайдэры перадаюць па сваіх сетках пакет ад BBB1 на AAA2;
11) віртуальны маршрутызатар на AAA2 прымае гэты пакет на порт 13389;
12) на віртуальным маршрутызатары ёсць правіла, якое прадугледжвае, што пакеты, якія паступілі ад любога адпраўніка на гэты порт, трэба перадаваць на 192.168.A.1:3389;
13) віртуальны маршрутызатар знаходзіць у табліцы маршрутызацыі сетку 192.168.A.0/24 і адпраўляе яго напрамую 192.168.А.1, паколькі мае інтэрфейс 192.168.A.254/24;
14) для гэтага віртуальны маршрутызатар знаходзіць MAC-адрас для 192.168.A.1 і перадае яму гэты пакет праз віртуальную Ethernet-сетку;
15) 192.168.A.1 атрымлівае гэты пакет на порт 3389, згаджаецца ўсталяваць злучэнне і фармуе пакет у адказ ад 192.168.A.1:3389 на BBB1:44444;
16) яго сістэма перадае гэты пакет на шлюзавы адрас віртуальнага маршрутызатара (192.168.A.254 у нашым выпадку), таму што іншых, больш спецыфічных маршрутаў для BBB1, у яе няма, такім чынам, яна павінна перадаць пакет па маршруце па змаўчанні (0.0.0.0/0);
17) сапраўды гэтак жа, як і ў папярэдніх выпадках, сістэма, якая працуе на серверы з адрасам 192.168.A.1, знаходзіць MAC-адрас 192.168.A.254, паколькі той знаходзіцца ў адной сетцы з яе інтэрфейсам 192.168.A.1/24;
18) віртуальны маршрутызатар прымае гэты пакет. Варта адзначыць, ён памятае, што атрымліваў на AAA2:13389 пакет ад BBB1:44444 і мяняў яму адрас і порт атрымальніка на 192.168.A.1:3389, такім чынам, пакету ад 192.168.A.1:3389 для BBB1:44444 ён мяняе адрас адпраўніка на AAA2:13389;
19) віртуальны маршрутызатар вырашае, каму перадаць гэты пакет, ён адпраўляе яго на AAA254 (шлюз інтэрнэт-правайдэра, у гэтым выпадку, гэта таксама мы), таму што больш спецыфічных маршрутаў да BBB1, чым 0.0.0.0/0, у яго няма;
20) інтэрнэт-правайдэры перадаюць па сваіх сетках пакет з AAA2 на BBB1;
21) маршрутызатар на BBB1 прымае гэты пакет і ўспамінае, што, калі ён перадаваў пакет ад 192.168.B.1:55555 для AAA2:13389, ён мяняў яго адрас і порт адпраўніка на BBB1:44444, значыць, гэта адказ, які трэба перадаць на 192.168.B.1:55555 (насамрэч, там існуюць яшчэ некалькі праверак, але мы ў гэта не паглыбляемся);
22) ён разумее, што яго варта перадаць напрамую на 192.168.B.1, паколькі той знаходзіцца з ім у адной сетцы, такім чынам, у таго ёсць у табліцы маршрутызацыі адпаведны запіс, якая прымушае адпраўляць пакеты для ўсёй 192.168.Б.0/24 напрамую;
23) маршрутызатар знаходзіць MAC-адрас для 192.168.B.1 і перадае яму гэты пакет;
24) аперацыйная сістэма на кампутары з адрасам 192.168.B.1 прымае пакет ад AAA2:13389 для 192.168.B.1:55555 і ініцыюе наступныя крокі для ўсталявання TCP-злучэнні.
Варта адзначыць, што ў гэтым выпадку кампутар з адрасам 192.168.B.1 нічога не ведае аб серверы з адрасам 192.168.A.1, ён мае зносіны толькі з AAA2. Гэтак жа і сервер з адрасам 192.168.A.1 нічога не ведае аб кампутары з адрасам 192.168.B.1. Ён лічыць, што да яго далучыліся з адрасу BBB1, А больш ён нічога, так бы мовіць, не ведае.
Яшчэ трэба адзначыць, што ў выпадку, калі гэты кампутар звяртаецца да AAA2:1540, злучэнне не будзе ўсталявана, таму што пракід злучэнняў на порт 1540 не наладжаны на віртуальным маршрутызатары, нават калі на якіх-небудзь серверах у віртуальнай сетцы 192.168.A.0/24 (напрыклад, на серверы з адрасам 192.168.A.1) і ёсць якія-небудзь сэрвісы, якія чакаюць злучэння на гэтым порце. Калі карыстачу кампутара з адрасам 192.168.B.1 вельмі неабходна ўсталяваць злучэнне з гэтай службай, ён павінен выкарыстоўваць VPN, г.зн. звяртацца напрамую на 192.168.A.1:1540.
Варта падкрэсліць, што любыя спробы ўсталяваць злучэнне з AAA1 (акрамя IPSec-злучэнні з боку BBB1 не будуць удалымі. Любыя спробы ўсталяваць злучэнні з AAA2, Акрамя злучэнняў з портам 13389, таксама не будуць удалымі.
Таксама адзначым, што ў выпадку, калі да AAA2 звернецца хто-небудзь яшчэ (напрыклад, CCCC), усё, што пазначана ў пунктах 10-20, будзе тычыцца і яго таксама. Што адбываецца да гэтага і пасля гэтага залежыць ад таго, што менавіта знаходзіцца за гэтым CCCC. Мы не валодаем такой інфармацыяй, таму раім звярнуцца па кансультацыі да адміністратараў вузла з адрасам CCCC.
Пазіцыя трэцяя
І, наадварот, калі з 192.168.A.1 штосьці адпраўляецца на які-небудзь порт, які сканфігураваны для пракіду ўнутр на BBB1 (напрыклад, 11111), яно таксама не пападае ў VPN, а проста націцца ад AAA1 і трапляе ў BBB1, А той ужо перадае яго куды-небудзь у, скажам, 192.168.B.2:3389. Той бачыць гэты пакет не ад 192.168.A.1, але AAA1. І, калі 192.168.B.2 адказвае, пакет ідзе ад BBB1 на AAA1, а пазней трапляе да ініцыятара злучэння 192.168.A.1.
Канкрэтны прыклад:
1) 192.168.A.1 звяртаецца да BBB1, хоча ўсталяваць TCP-злучэнне з BBB1:11111;
2) 192.168.A.1 адпраўляе запыт на ўсталяванне злучэння ад 192.168.A.1:55555 (гэты нумар, як і ў папярэднім прыкладзе, можа быць іншым) на BBB1:11111;
3) аперацыйная сістэма, якая працуе на серверы з адрасам 192.168.A.1, вырашае перадаць гэты пакет на шлюзавы адрас маршрутызатара (192.168.A.254 у нашым выпадку), таму што іншых, больш спецыфічных маршрутаў для BBB1, у яе няма, такім чынам, яна перадае пакет па маршруце па змаўчанні (0.0.0.0/0);
4) для гэтага яна, як мы і згадвалі ў папярэдніх прыкладах, спрабуе знайсці MAC-адрас для IP-адраса 192.168.A.254 у кэш-табліцы пратаколу ARP. Калі ён не знойдзены, адпраўляе з адрасу 192.168.A.1 шырокавяшчальны who-has запыт да сеткі 192.168.A.0/24. калі 192.168.A.254 у адказ адпраўляе ёй свой MAC-адрас, сістэма перадае Ethernet-пакет для яго і заносіць гэтую інфармацыю ў сваю кэш-табліцу;
5) віртуальны маршрутызатар прымае гэты пакет і вырашае, куды яго перадаць: у яго прапісана палітыка, паводле якой ён павінен націць (падмяняючы зваротны адрас) усе пакеты ад 192.168.A.0/24 да іншых вузлоў сеткі Інтэрнет;
6) паколькі гэтая палітыка мяркуе, што зваротны адрас пры гэтым павінен супадаць з малодшым адрасам на інтэрфейсе, праз які будзе перададзены гэты пакет, віртуальны маршрутызатар спачатку вырашае, каму менавіта перадаць гэты пакет, а ён, як і ў папярэднім прыкладзе, павінен адправіць яго на AAA254 (шлюз інтэрнэт-правайдэра, у гэтым выпадку, гэта таксама мы), таму што больш спецыфічных маршрутаў да BBB1, чым 0.0.0.0/0, у яго няма;
7) значыць, віртуальны маршрутызатар падмяняе зваротны адрас пакета, з гэтага часу гэта пакет ад AAA1:44444 (нумар порта, вядома, можа быць іншым) на BBB1:11111;
8) віртуальны маршрутызатар запамінае, што ён зрабіў, такім чынам, калі ад BBB1:11111 для AAA1:44444 паступіць адказ, ён будзе ведаць, што яму трэба змяніць адрас і порт атрымальніка на 192.168.A.1:55555.
9) зараз віртуальны маршрутызатар павінен перадаць яго ў сетку інтэрнэт-правайдэра праз AAA254, значыць, сапраўды гэтак жа, як мы ўжо згадвалі, ён знаходзіць MAC-адрас для AAA254 і перадае пакет на шлюз інтэрнэт-правайдэра;
10) інтэрнэт-правайдэры перадаюць па сваіх сетках пакет ад AAA1 на BBB1;
11) маршрутызатар на BBB1 прымае гэты пакет на порт 11111;
12) на віртуальным маршрутызатары існуе правіла, якое прадугледжвае, што пакеты, якія паступілі ад якога-небудзь адпраўніка на гэты порт, трэба перадаваць на 192.168.B.2:3389;
13) маршрутызатар знаходзіць у табліцы маршрутызацыі сетку 192.168.Б.0/24 і адпраўляе яго напрамую да 192.168.B.2, паколькі мае інтэрфейс 192.168.Б.254/24;
14) для гэтага віртуальны маршрутызатар знаходзіць MAC-адрас для 192.168.B.2 і перадае яму гэты пакет праз віртуальную Ethernet-сетку;
15) 192.168.B.2 атрымлівае гэты пакет на порт 3389, згаджаецца ўсталяваць злучэнне і фармуе пакет у адказ ад 192.168.B.2:3389 на AAA1:44444;
16) яго сістэма перадае гэты пакет на шлюзавы адрас маршрутызатара (192.168.B.254 у нашым выпадку), таму што іншых, больш спецыфічных маршрутаў для AAA1, у яе няма, такім чынам, яна павінна перадаць пакет па маршруце па змаўчанні (0.0.0.0/0);
17) сапраўды гэтак жа, як і ў папярэдніх выпадках, сістэма, якая працуе на кампутары з адрасам 192.168.B.2, знаходзіць MAC-адрас 192.168.B.254, паколькі той знаходзіцца ў адной сетцы з яе інтэрфейсам 192.168.Б.2/24;
18) маршрутызатар прымаюць гэты пакет. Варта адзначыць, ён памятае, што атрымліваў на BBB1:11111 пакет ад AAA1 і мяняў яму адрас і порт атрымальніка на 192.168.B.2:3389, такім чынам, пакету ад 192.168.B.2:3389 для AAA1:44444 ён мяняе адрас адпраўніка на BBB1:11111;
19) маршрутызатар вырашае, каму перадаць гэты пакет. Ён адпраўляе яго на, скажам, BBB254 (шлюз інтэрнэт-правайдэра, дакладны адрас якога мы не ведаем), таму што больш спецыфічных маршрутаў да AAA1, чым 0.0.0.0/0, у яго няма;
20) інтэрнэт-правайдэры перадаюць па сваіх сетках пакет з BBB1 на AAA1;
21) віртуальны маршрутызатар на AAA1 прымае гэты пакет і ўспамінае, што, калі ён перадаваў пакет ад 192.168.A.1:55555 для BBB1:11111, ён мяняў яго адрас і порт адпраўніка на AAA1:44444. Значыць, гэта адказ, які неабходна перадаць на 192.168.A.1:55555 (насамрэч, як мы і згадвалі ў папярэднім прыкладзе, там таксама ёсць яшчэ некалькі праверак, але і на гэты раз мы ў іх не паглыбляемся);
22) ён разумее, што яго варта перадаць напрамую на 192.168.A.1, паколькі той знаходзіцца з ім у адной сетцы, значыць, у таго ёсць у табліцы маршрутызацыі адпаведны запіс, якая прымушае яго адпраўляць пакеты для ўсёй 192.168.A.0/24 напрамую;
23) маршрутызатар знаходзіць MAC-адрас для 192.168.A.1 і перадае яму гэты пакет;
24) аперацыйная сістэма на серверы з адрасам 192.168.A.1 прымае пакет ад BBB1:11111 за 192.168.A.1:55555 і ініцыюе наступныя крокі для ўсталявання TCP-злучэнні.
Дакладна гэтак жа, як і ў папярэднім выпадку, у гэтым выпадку сервер з адрасам 192.168.A.1 нічога не ведае аб кампутары з адрасам 192.168.B.1, ён мае зносіны толькі з BBB1. Кампутар з адрасам 192.168.B.1 таксама нічога не ведае аб серверы з адрасам 192.168.A.1. Ён лічыць, што да яго далучыліся з адрасу AAA1, а астатняе ад яго схавана.
Выснова
Вось так усё адбываецца пры злучэннях усярэдзіне VPN-тунэля паміж офісам кліента і асяроддзем у воблаку, а таксама пры злучэннях па-за VPN-тунэлем. А калі ў вас засталіся пытанні ці патрэбна наша дапамога ў рашэнні хмарных задач,
Крыніца: habr.com