Mae erthyglau go iawn yn cael eu geni o e-byst i dîm cymorth technegol Tucha. Er enghraifft, cysylltodd cleient â ni yn ddiweddar gyda chais am eglurhad ar yr hyn sy'n digwydd yn ystod cysylltiadau o fewn twnnel VPN rhwng swyddfa'r defnyddiwr a'r amgylchedd cwmwl, yn ogystal ag yn ystod cysylltiadau y tu allan i'r twnnel VPN. Felly, mae'r testun cyfan isod yn e-bost gwirioneddol a anfonwyd gennym at un o'n cleientiaid mewn ymateb i'w cwestiwn. Wrth gwrs, rydym wedi newid y cyfeiriadau IP i amddiffyn anhysbysrwydd y cleient. Ond ie, mae tîm cymorth technegol Tucha yn enwog iawn am ei ymatebion manwl a'i e-byst addysgiadol. 🙂
Wrth gwrs, rydym yn deall na fydd yr erthygl hon yn arloesol i lawer. Fodd bynnag, gan fod Habr yn cyhoeddi erthyglau ar gyfer gweinyddwyr newydd o bryd i'w gilydd, ac o ystyried bod yr erthygl hon wedi'i hysbrydoli gan e-bost go iawn at gleient go iawn, byddwn yn rhannu'r wybodaeth hon yma. Mae siawns dda y bydd yn ddefnyddiol i rywun.
Felly, byddwn yn egluro'n fanwl beth sy'n digwydd rhwng gweinydd cwmwl a swyddfa os ydynt wedi'u cysylltu trwy rwydwaith safle-i-safle. Nodwch mai dim ond o'r swyddfa y mae rhai gwasanaethau ar gael, tra bod eraill ar gael o unrhyw le ar y rhyngrwyd.
Gadewch inni egluro ar unwaith beth oedd ein cleient ei eisiau ar y gweinydd 192.168.A.1 Roedd hi'n bosibl dod o unrhyw le drwy RDP, gan gysylltu â AAA2:13389, a dim ond o'r swyddfa y mae mynediad at wasanaethau eraill yn bosibl (192.168.B.0/24), wedi'i gysylltu drwy VPNRoedd y cleient hefyd wedi'i ffurfweddu i ddechrau fel bod y car 192.168.B.2 yn y swyddfa, gallech hefyd ddefnyddio RDP o unrhyw le, gan gysylltu â BBB1:11111Fe wnaethon ni helpu i sefydlu cysylltiadau IPSec rhwng y cwmwl a'r swyddfa, a dechreuodd arbenigwr TG y cleient ofyn cwestiynau am yr hyn fyddai'n digwydd mewn rhai senarios. I ateb yr holl gwestiynau hyn, fe wnaethon ni ysgrifennu'r ddogfen y gallwch ei darllen isod iddo.
Nawr, gadewch i ni edrych ar y prosesau hyn yn fanylach.
Safle un
Pan anfonir rhywbeth o 192.168.B.0/24 в 192.168.A.0/24 neu o 192.168.A.0/24 в 192.168.B.0/24, mae'n mynd i mewn i'r VPN. Hynny yw, mae'r pecyn hwn hefyd wedi'i amgryptio a'i drosglwyddo rhwng BBB1 и AAA1Ond 192.168.A.1 yn gweld y pecyn o 192.168.B.1Gallant gyfathrebu â'i gilydd gan ddefnyddio unrhyw brotocol. Caiff ymatebion dychwelyd eu trosglwyddo drwy'r VPN yn yr un modd, sy'n golygu'r pecyn o 192.168.A.1 gyfer 192.168.B.1 yn cael ei anfon fel datagram ESP o AAA1 ar BBB1, y bydd y llwybrydd ar yr ochr arall yn ei ddatblygu, tynnwch y pecyn hwnnw allan ohono a'i roi i 192.168.B.1 fel pecyn o 192.168.A.1.
Enghraifft benodol:
1) 192.168.B.1 yn cyfeirio at 192.168.A.1, eisiau sefydlu cysylltiad TCP gyda 192.168.A.1:3389;
2) 192.168.B.1 yn anfon cais cysylltiad o 192.168.B.1:55555 (mae'n dewis rhif y porthladd ar gyfer adborth ei hun, o hyn ymlaen byddwn yn defnyddio'r rhif 55555 fel enghraifft o'r rhif porthladd y mae'r system yn ei ddewis wrth ffurfio cysylltiad TCP) ymlaen 192.168.A.1:3389;
3) y system weithredu sy'n rhedeg ar y cyfrifiadur gyda'r cyfeiriad 192.168.B.1, yn penderfynu anfon y pecyn hwn ymlaen i gyfeiriad porth y llwybrydd (192.168.B.254 yn ein hachos ni), oherwydd bod llwybrau eraill, mwy penodol ar gyfer 192.168.A.1, nid oes ganddo un, felly mae'n anfon y pecyn ymlaen trwy'r llwybr diofyn (0.0.0.0/0);
4) I wneud hyn, mae'n ceisio dod o hyd i'r cyfeiriad MAC ar gyfer y cyfeiriad IP 192.168.B.254 yn nhabl storfa protocol ARP. Os na chaiff ei ganfod, mae'n anfon o'r cyfeiriad 192.168.B.1 darlledu ymholiad pwy sydd ganddo i'r rhwydwaith 192.168.B.0/24. Pryd 192.168.B.254 mewn ymateb, mae'n anfon ei gyfeiriad MAC ato, mae'r system yn trosglwyddo pecyn Ethernet iddo ac yn nodi'r wybodaeth hon yn ei dabl storfa;
5) Mae'r llwybrydd yn derbyn y pecyn hwn ac yn penderfynu i ble i'w anfon ymlaen: mae ganddo bolisi yn ôl pa un y mae'n rhaid iddo anfon pob pecyn ymlaen rhyngddynt 192.168.B.0/24 и 192.168.A.0/24 trosglwyddo dros gysylltiad VPN rhwng BBB1 и AAA1;
6) mae'r llwybrydd yn cynhyrchu datagram ESP o BBB1 ar AAA1;
7) mae'r llwybrydd yn penderfynu at bwy i anfon y pecyn hwn ymlaen, mae'n ei anfon at, dyweder, BBB254 (porth ISP) oherwydd bod llwybrau mwy penodol i AAA1, na 0.0.0.0/0, nid oes ganddo;
8) yn union fel y dywedwyd o'r blaen, mae'n dod o hyd i'r cyfeiriad MAC ar gyfer BBB254 ac yn trosglwyddo'r pecyn i borth y darparwr Rhyngrwyd;
9) Mae darparwyr rhyngrwyd yn trosglwyddo datagramau ESP o BBB1 ar AAA1;
10) llwybrydd rhithwir ymlaen AAA1 yn derbyn y datagram hwn, yn ei ddadgryptio ac yn derbyn y pecyn o 192.168.B.1:55555 gyfer 192.168.A.1:3389;
11) mae'r llwybrydd rhithwir yn gwirio i bwy i'w drosglwyddo, yn dod o hyd i'r rhwydwaith yn y tabl llwybro 192.168.A.0/24 ac yn ei anfon yn uniongyrchol at 192.168.A.1, gan fod ganddo ryngwyneb 192.168.A.254/24;
12) I wneud hyn, mae'r llwybrydd rhithwir yn dod o hyd i'r cyfeiriad MAC ar gyfer 192.168.A.1 ac yn trosglwyddo'r pecyn hwn iddo drwy rwydwaith Ethernet rhithwir;
13) 192.168.A.1 yn derbyn y pecyn hwn ar borthladd 3389, yn cytuno i sefydlu cysylltiad ac yn ffurfio pecyn mewn ymateb gan 192.168.A.1:3389 ar 192.168.B.1:55555;
14) mae ei system yn anfon y pecyn hwn ymlaen i gyfeiriad porth y llwybrydd rhithwir (192.168.A.254 yn ein hachos ni), oherwydd bod llwybrau eraill, mwy penodol ar gyfer 192.168.B.1, nid oes ganddo un, felly rhaid iddo anfon y pecyn ymlaen trwy'r llwybr diofyn (0.0.0.0/0);
15) yn union fel yn yr achosion blaenorol, y system sy'n rhedeg ar y gweinydd gyda'r cyfeiriad 192.168.A.1, yn dod o hyd i'r cyfeiriad MAC 192.168.A.254, gan ei fod ar yr un rhwydwaith â'i ryngwyneb 192.168.A.1/24;
16) Mae'r llwybrydd rhithwir yn derbyn y pecyn hwn ac yn penderfynu i ble i'w anfon ymlaen: mae ganddo bolisi yn ôl pa un y mae'n rhaid iddo anfon pob pecyn ymlaen rhyngddynt 192.168.A.0/24 и 192.168.B.0/24 trosglwyddo dros gysylltiad VPN rhwng AAA1 и BBB1;
17) Mae'r llwybrydd rhithwir yn cynhyrchu datagram ESP o AAA1 gyfer BBB1;
18) mae'r llwybrydd rhithwir yn penderfynu at bwy i anfon y pecyn hwn ymlaen, yn ei anfon AAA254 (ni hefyd yw porth y darparwr gwasanaeth rhyngrwyd, yn yr achos hwn), oherwydd bod llwybrau mwy penodol i BBB1, na 0.0.0.0/0, nid oes ganddo;
19) Mae darparwyr rhyngrwyd yn trosglwyddo datagramau ESP dros eu rhwydweithiau AAA1 ar BBB1;
20) llwybrydd ymlaen BBB1 yn derbyn y datagram hwn, yn ei ddadgryptio ac yn derbyn y pecyn o 192.168.A.1:3389 gyfer 192.168.B.1:55555;
21) mae'n deall y dylid ei drosglwyddo i 192.168.B.1, gan ei fod ar yr un rhwydwaith ag ef, felly, mae ganddo gofnod cyfatebol yn y tabl llwybro, sy'n ei orfodi i anfon pecynnau ar gyfer y cyfan 192.168.B.0/24 yn uniongyrchol;
22) Mae'r llwybrydd yn dod o hyd i'r cyfeiriad MAC ar gyfer 192.168.B.1 ac yn rhoi'r pecyn hwn iddo;
23) y system weithredu ar y cyfrifiadur gyda'r cyfeiriad 192.168.B.1 yn derbyn pecyn o 192.168.A.1:3389 gyfer 192.168.B.1:55555 ac yn cychwyn y camau nesaf i sefydlu cysylltiad TCP.
Mae'r enghraifft hon yn disgrifio, mewn modd cryno a symlach (ac mae digon o fanylion i'w cofio o hyd), beth sy'n digwydd ar lefelau 2-4. Ni ystyrir lefelau 1, 5-7.
Safle dau
Os gyda 192.168.B.0/24 mae rhywbeth yn cael ei anfon yn union i AAA2, nid yw'n mynd i'r VPN, ond yn uniongyrchol. Hynny yw, os yw'r defnyddiwr o'r cyfeiriad 192.168.B.1 yn cyfeirio at AAA2:13389, bydd y pecyn hwn yn cael ei dderbyn o'r cyfeiriad BBB1, yn pasio ymlaen AAA2, ac yno mae'r llwybrydd yn ei dderbyn ac yn ei drosglwyddo i 192.168.A.1. 192.168.A.1 ddim yn gwybod dim byd am 192.168.B.1, mae'n gweld pecyn o BBB1, gan iddo ei dderbyn. Felly, mae'r ymateb i'r cais hwn yn dilyn y llwybr cyffredinol, mae hefyd yn cael ei dderbyn o'r cyfeiriad AAA2 ac yn mynd ymlaen BBB1, ac mae'r llwybrydd hwnnw'n anfon yr ymateb hwn i 192.168.B.1, mae'n gweld yr ateb gan AAA2, at bwy y cyfeiriodd ei hun.
Enghraifft benodol:
1) 192.168.B.1 yn cyfeirio at AAA2, eisiau sefydlu cysylltiad TCP gyda AAA2:13389;
2) 192.168.B.1 yn anfon cais cysylltiad o 192.168.B.1:55555 (gall y rhif hwn, fel yn yr enghraifft flaenorol, fod yn wahanol) AAA2:13389;
3) y system weithredu sy'n rhedeg ar y cyfrifiadur gyda'r cyfeiriad 192.168.B.1, yn penderfynu anfon y pecyn hwn ymlaen i gyfeiriad porth y llwybrydd (192.168.B.254 yn ein hachos ni), oherwydd bod llwybrau eraill, mwy penodol ar gyfer AAA2, nid oes ganddo un, sy'n golygu ei fod yn anfon y pecyn trwy'r llwybr diofyn (0.0.0.0/0);
4) I wneud hyn, fel y soniasom yn yr enghraifft flaenorol, mae'n ceisio dod o hyd i'r cyfeiriad MAC ar gyfer y cyfeiriad IP 192.168.B.254 yn nhabl storfa protocol ARP. Os na chaiff ei ganfod, mae'n anfon o'r cyfeiriad 192.168.B.1 darlledu ymholiad pwy sydd ganddo i'r rhwydwaith 192.168.B.0/24. Pryd 192.168.B.254 mewn ymateb, mae'n anfon ei gyfeiriad MAC ato, mae'r system yn trosglwyddo pecyn Ethernet iddo ac yn nodi'r wybodaeth hon yn ei dabl storfa;
5) mae'r llwybrydd yn derbyn y pecyn hwn ac yn penderfynu i ble i'w anfon ymlaen: mae ganddo bolisi yn ôl pa un y mae'n rhaid iddo anfon ymlaen (trwy ddisodli'r cyfeiriad dychwelyd) yr holl becynnau o 192.168.B.0/24 i nodau Rhyngrwyd eraill;
6) gan fod y polisi hwn yn awgrymu bod yn rhaid i'r cyfeiriad dychwelyd gyd-fynd â'r cyfeiriad isaf ar y rhyngwyneb y bydd y pecyn hwn yn cael ei drosglwyddo drwyddo, mae'r llwybrydd yn penderfynu yn gyntaf at bwy yn union i drosglwyddo'r pecyn hwn, ac mae'n rhaid iddo, fel yn yr enghraifft flaenorol, ei anfon ato BBB254 (porth ISP) oherwydd bod llwybrau mwy penodol i AAA2, na 0.0.0.0/0, nid oes ganddo;
7) felly, mae'r llwybrydd yn disodli cyfeiriad dychwelyd y pecyn, o hyn ymlaen y pecyn o BBB1:44444 (gall rhif y porthladd fod yn wahanol, wrth gwrs) AAA2:13389;
8) Mae'r llwybrydd yn cofio beth wnaeth, felly pan fydd AAA2:13389 к BBB1:44444 pan fydd ymateb yn cyrraedd, bydd yn gwybod y dylai newid cyfeiriad a phorthladd y derbynnydd i 192.168.B.1:55555.
9) Nawr dylai'r llwybrydd ei drosglwyddo i rwydwaith yr ISP drwy BBB254, felly yn union fel y soniasom eisoes, mae'n dod o hyd i'r cyfeiriad MAC ar gyfer BBB254 ac yn trosglwyddo'r pecyn i borth y darparwr Rhyngrwyd;
10) Mae darparwyr rhyngrwyd yn trosglwyddo pecynnau o'u rhwydweithiau BBB1 ar AAA2;
11) llwybrydd rhithwir ymlaen AAA2 yn derbyn y pecyn hwn ar borthladd 13389;
12) mae rheol ar y llwybrydd rhithwir sy'n nodi y dylid anfon pecynnau sy'n cyrraedd o unrhyw anfonwr ar y porthladd hwn ymlaen i 192.168.A.1:3389;
13) Mae'r llwybrydd rhithwir yn dod o hyd i'r rhwydwaith yn y tabl llwybro 192.168.A.0/24 ac yn ei anfon yn uniongyrchol 192.168.A.1, oherwydd bod ganddo ryngwyneb 192.168.A.254/24;
14) I wneud hyn, mae'r llwybrydd rhithwir yn dod o hyd i'r cyfeiriad MAC ar gyfer 192.168.A.1 ac yn trosglwyddo'r pecyn hwn iddo drwy rwydwaith Ethernet rhithwir;
15) 192.168.A.1 yn derbyn y pecyn hwn ar borthladd 3389, yn cytuno i sefydlu cysylltiad ac yn ffurfio pecyn mewn ymateb gan 192.168.A.1:3389 ar BBB1:44444;
16) mae ei system yn anfon y pecyn hwn ymlaen i gyfeiriad porth y llwybrydd rhithwir (192.168.A.254 yn ein hachos ni), oherwydd bod llwybrau eraill, mwy penodol ar gyfer BBB1, nid oes ganddo un, felly rhaid iddo anfon y pecyn ymlaen trwy'r llwybr diofyn (0.0.0.0/0);
17) yn union fel yn yr achosion blaenorol, y system sy'n rhedeg ar y gweinydd gyda'r cyfeiriad 192.168.A.1, yn dod o hyd i'r cyfeiriad MAC 192.168.A.254, gan ei fod ar yr un rhwydwaith â'i ryngwyneb 192.168.A.1/24;
18) Mae'r llwybrydd rhithwir yn derbyn y pecyn hwn. Dylid nodi ei fod yn cofio iddo ei dderbyn ar AAA2:13389 pecyn o BBB1:44444 a newid cyfeiriad a phorthladd y derbynnydd i 192.168.A.1:3389, felly, y pecyn o 192.168.A.1:3389 gyfer BBB1:44444 mae'n newid cyfeiriad yr anfonwr i AAA2:13389;
19) mae'r llwybrydd rhithwir yn penderfynu at bwy i anfon y pecyn hwn ymlaen, mae'n ei anfon AAA254 (ni hefyd yw porth y darparwr gwasanaeth rhyngrwyd, yn yr achos hwn), oherwydd bod llwybrau mwy penodol i BBB1, na 0.0.0.0/0, nid oes ganddo;
20) Mae darparwyr rhyngrwyd yn trosglwyddo pecyn trwy eu rhwydweithiau AAA2 ar BBB1;
21) llwybrydd ymlaen BBB1 yn derbyn y pecyn hwn ac yn cofio hynny pan drosglwyddodd y pecyn o 192.168.B.1:55555 gyfer AAA2:13389, newidiodd ei gyfeiriad anfonwr a'i borthladd i BBB1:44444, yna dyma'r ateb y mae angen ei drosglwyddo 192.168.B.1:55555 (mewn gwirionedd, mae sawl gwiriad arall yno, ond ni fyddwn yn mynd i mewn i hynny);
22) mae'n deall y dylid ei drosglwyddo'n uniongyrchol i 192.168.B.1, gan ei fod ar yr un rhwydwaith ag ef, felly, mae ganddo gofnod cyfatebol yn y tabl llwybro, sy'n ei orfodi i anfon pecynnau i'r cyfan 192.168.B.0/24 yn uniongyrchol;
23) Mae'r llwybrydd yn dod o hyd i'r cyfeiriad MAC ar gyfer 192.168.B.1 ac yn rhoi'r pecyn hwn iddo;
24) y system weithredu ar y cyfrifiadur gyda'r cyfeiriad 192.168.B.1 yn derbyn pecyn o AAA2:13389 gyfer 192.168.B.1:55555 ac yn cychwyn y camau nesaf i sefydlu cysylltiad TCP.
Dylid nodi yn yr achos hwn mai'r cyfrifiadur gyda'r cyfeiriad 192.168.B.1 ddim yn gwybod dim am y gweinydd gyda'r cyfeiriad 192.168.A.1, dim ond gyda nhw y mae'n cyfathrebu AAA2Mae'r un peth yn wir am y gweinydd gyda'r cyfeiriad 192.168.A.1 ddim yn gwybod dim am y cyfrifiadur gyda'r cyfeiriad 192.168.B.1Mae'n credu ei fod wedi'i gysylltu o'r cyfeiriad BBB1, ac nid yw'n gwybod dim byd arall, fel petai.
Dylid nodi hefyd, os yw'r cyfrifiadur hwn yn cyrchu AAA2:1540, ni fydd y cysylltiad yn cael ei sefydlu oherwydd nad yw anfon cysylltiadau ymlaen i borthladd 1540 wedi'i ffurfweddu ar y llwybrydd rhithwir, hyd yn oed os yw ar unrhyw weinyddion yn y rhwydwaith rhithwir 192.168.A.0/24 (er enghraifft, ar weinydd gyda'r cyfeiriad 192.168.A.1) ac mae unrhyw wasanaethau'n aros am gysylltiad ar y porthladd hwn. Os yw defnyddiwr cyfrifiadur gyda'r cyfeiriad 192.168.B.1 Mae'n gwbl angenrheidiol sefydlu cysylltiad â'r gwasanaeth hwn, rhaid iddo ddefnyddio VPN, h.y. cysylltu'n uniongyrchol 192.168.A.1:1540.
Dylid pwysleisio bod unrhyw ymdrechion i sefydlu cysylltiad â AAA1 (ac eithrio cysylltiad IPSec o'r ochr) BBB1 ni fydd yn llwyddiannus. Unrhyw ymdrechion i sefydlu cysylltiadau â AAA2, ac eithrio cysylltiadau â phorthladd 13389, ni fydd yn llwyddiannus chwaith.
Rydym hefyd yn nodi, pe bai AAA2 Os bydd rhywun arall (er enghraifft, CCCC) yn cysylltu â chi, bydd popeth a ddisgrifir ym mhwyntiau 10-20 yn berthnasol iddyn nhw hefyd. Mae'r hyn sy'n digwydd cyn ac ar ôl hyn yn dibynnu ar beth yn union sydd y tu ôl i'r CCCC hwn. Nid oes gennym y wybodaeth hon, felly rydym yn argymell ymgynghori â gweinyddwyr y nod gyda'r cyfeiriad CCCC.
Safle tri
Ac i'r gwrthwyneb, os gyda 192.168.A.1 unrhyw beth a anfonir i unrhyw borthladd sydd wedi'i ffurfweddu i gael ei anfon ymlaen y tu mewn i BBB1 (er enghraifft, 11111), nid yw'n mynd i mewn i'r VPN chwaith, ond yn syml yn cael ei anfon o AAA1 ac yn mynd i mewn BBB1, ac mae eisoes yn ei drosglwyddo yn rhywle yn, dyweder, 192.168.B.2:3389Mae'n gweld y pecyn hwn nid o 192.168.A.1, ac o AAA1A phan 192.168.B.2 atebion, mae'r pecyn yn dod o BBB1 ar AAA1, ac yn ddiweddarach yn cyrraedd cychwynnydd y cysylltiad - 192.168.A.1.
Enghraifft benodol:
1) 192.168.A.1 yn cyfeirio at BBB1, eisiau sefydlu cysylltiad TCP gyda BBB1:11111;
2) 192.168.A.1 yn anfon cais cysylltiad o 192.168.A.1:55555 (gall y rhif hwn, fel yn yr enghraifft flaenorol, fod yn wahanol) BBB1:11111;
3) y system weithredu sy'n rhedeg ar y gweinydd gyda'r cyfeiriad 192.168.A.1, yn penderfynu anfon y pecyn hwn ymlaen i gyfeiriad porth y llwybrydd (192.168.A.254 yn ein hachos ni), oherwydd bod llwybrau eraill, mwy penodol ar gyfer BBB1, nid oes ganddo un, felly mae'n anfon y pecyn ymlaen trwy'r llwybr diofyn (0.0.0.0/0);
4) I wneud hyn, fel y soniasom yn yr enghreifftiau blaenorol, mae'n ceisio dod o hyd i'r cyfeiriad MAC ar gyfer y cyfeiriad IP 192.168.A.254 yn nhabl storfa protocol ARP. Os na chaiff ei ganfod, mae'n anfon o'r cyfeiriad 192.168.A.1 darlledu ymholiad pwy sydd ganddo i'r rhwydwaith 192.168.A.0/24. Pryd 192.168.A.254 mewn ymateb, mae'n anfon ei gyfeiriad MAC, mae'r system yn trosglwyddo pecyn Ethernet ar ei gyfer ac yn nodi'r wybodaeth hon yn ei dabl storfa;
5) mae'r llwybrydd rhithwir yn derbyn y pecyn hwn ac yn penderfynu i ble i'w anfon ymlaen: mae ganddo bolisi yn ôl pa un y mae'n rhaid iddo anfon ymlaen (trwy ddisodli'r cyfeiriad dychwelyd) yr holl becynnau o 192.168.A.0/24 i nodau Rhyngrwyd eraill;
6) gan fod y polisi hwn yn tybio bod yn rhaid i'r cyfeiriad dychwelyd gyd-fynd â'r cyfeiriad isaf ar y rhyngwyneb y bydd y pecyn hwn yn cael ei drosglwyddo drwyddo, mae'r llwybrydd rhithwir yn penderfynu yn gyntaf at bwy yn union i drosglwyddo'r pecyn hwn, ac mae'n rhaid iddo, fel yn yr enghraifft flaenorol, ei anfon ato AAA254 (ni hefyd yw porth y darparwr gwasanaeth rhyngrwyd, yn yr achos hwn), oherwydd bod llwybrau mwy penodol i BBB1, na 0.0.0.0/0, nid oes ganddo;
7) Mae hyn yn golygu bod y llwybrydd rhithwir yn disodli cyfeiriad dychwelyd y pecyn, o hyn ymlaen mae'n becyn o AAA1:44444 (gall rhif y porthladd fod yn wahanol, wrth gwrs) BBB1:11111;
8) Mae'r llwybrydd rhithwir yn cofio beth mae wedi'i wneud, felly, pan BBB1:11111 gyfer AAA1:44444 pan fydd ymateb yn cyrraedd, bydd yn gwybod y dylai newid cyfeiriad a phorthladd y derbynnydd i 192.168.A.1:55555.
9) Nawr rhaid i'r llwybrydd rhithwir ei drosglwyddo i rwydwaith yr ISP drwy AAA254, felly yn union fel y soniasom eisoes, mae'n dod o hyd i'r cyfeiriad MAC ar gyfer AAA254 ac yn trosglwyddo'r pecyn i borth y darparwr Rhyngrwyd;
10) Mae darparwyr rhyngrwyd yn trosglwyddo pecynnau o'u rhwydweithiau AAA1 i BBB1;
11) llwybrydd ymlaen BBB1 yn derbyn y pecyn hwn ar borthladd 11111;
12) mae rheol ar y llwybrydd rhithwir sy'n nodi y dylid anfon pecynnau a gyrhaeddodd o unrhyw anfonwr ar y porthladd hwn ymlaen i 192.168.B.2:3389;
13) Mae'r llwybrydd yn dod o hyd i'r rhwydwaith yn y tabl llwybro 192.168.B.0/24 ac yn ei anfon yn uniongyrchol at 192.168.B.2, gan fod ganddo ryngwyneb 192.168.B.254/24;
14) I wneud hyn, mae'r llwybrydd rhithwir yn dod o hyd i'r cyfeiriad MAC ar gyfer 192.168.B.2 ac yn trosglwyddo'r pecyn hwn iddo drwy rwydwaith Ethernet rhithwir;
15) 192.168.B.2 yn derbyn y pecyn hwn ar borthladd 3389, yn cytuno i sefydlu cysylltiad ac yn ffurfio pecyn mewn ymateb gan 192.168.B.2:3389 ar AAA1:44444;
16) mae ei system yn anfon y pecyn hwn ymlaen i gyfeiriad porth y llwybrydd (192.168.B.254 yn ein hachos ni), oherwydd bod llwybrau eraill, mwy penodol ar gyfer AAA1, nid oes ganddo un, felly rhaid iddo anfon y pecyn ymlaen trwy'r llwybr diofyn (0.0.0.0/0);
17) yn union fel yn yr achosion blaenorol, y system sy'n rhedeg ar y cyfrifiadur gyda'r cyfeiriad 192.168.B.2, yn dod o hyd i'r cyfeiriad MAC 192.168.B.254, gan ei fod ar yr un rhwydwaith â'i ryngwyneb 192.168.B.2/24;
18) Mae'r llwybrydd yn derbyn y pecyn hwn. Dylid nodi ei fod yn cofio iddo ei dderbyn ar BBB1:11111 pecyn o AAA1 a newid cyfeiriad a phorthladd y derbynnydd i 192.168.B.2:3389, felly, y pecyn o 192.168.B.2:3389 gyfer AAA1:44444 mae'n newid cyfeiriad yr anfonwr i BBB1:11111;
19) Mae'r llwybrydd yn penderfynu at bwy i anfon y pecyn hwn ymlaen. Mae'n ei anfon at, dyweder, BBB254 (porth y darparwr Rhyngrwyd, nad ydym yn gwybod ei union gyfeiriad), oherwydd bod llwybrau mwy penodol i AAA1, na 0.0.0.0/0, nid oes ganddo;
20) Mae darparwyr rhyngrwyd yn trosglwyddo pecyn trwy eu rhwydweithiau BBB1 ar AAA1;
21) llwybrydd rhithwir ymlaen AAA1 yn derbyn y pecyn hwn ac yn cofio hynny pan drosglwyddodd y pecyn o 192.168.A.1:55555 gyfer BBB1:11111, newidiodd ei gyfeiriad anfonwr a'i borthladd i AAA1:44444Felly dyma'r ateb sydd angen ei drosglwyddo 192.168.A.1:55555 (mewn gwirionedd, fel y soniasom yn yr enghraifft flaenorol, mae yna sawl gwiriad arall hefyd, ond y tro hwn ni fyddwn yn mynd i mewn iddynt);
22) mae'n deall y dylid ei drosglwyddo'n uniongyrchol i 192.168.A.1, gan ei fod ar yr un rhwydwaith ag ef, mae'n golygu bod ganddo gofnod cyfatebol yn y tabl llwybro, sy'n ei orfodi i anfon pecynnau i'r cyfan 192.168.A.0/24 yn uniongyrchol;
23) Mae'r llwybrydd yn dod o hyd i'r cyfeiriad MAC ar gyfer 192.168.A.1 ac yn rhoi'r pecyn hwn iddo;
24) system weithredu ar y gweinydd gyda'r cyfeiriad 192.168.A.1 yn derbyn pecyn o BBB1:11111 am 192.168.A.1:55555 ac yn cychwyn y camau nesaf i sefydlu cysylltiad TCP.
Yn union fel yn yr achos blaenorol, yn yr achos hwn y gweinydd gyda'r cyfeiriad 192.168.A.1 ddim yn gwybod dim am y cyfrifiadur gyda'r cyfeiriad 192.168.B.1, dim ond gyda nhw y mae'n cyfathrebu BBB1Cyfrifiadur gyda chyfeiriad 192.168.B.1 hefyd ddim yn gwybod dim am y gweinydd gyda'r cyfeiriad 192.168.A.1Mae'n credu ei fod wedi'i gysylltu o'r cyfeiriad AAA1, ac mae'r gweddill wedi'i guddio rhagddo.
Allbwn
Dyma sut mae'n gweithio ar gyfer cysylltiadau o fewn y twnnel VPN rhwng swyddfa'r cleient a'r amgylchedd cwmwl, yn ogystal ag ar gyfer cysylltiadau y tu allan i'r twnnel VPN. Os oes gennych unrhyw gwestiynau neu os oes angen ein help arnoch gyda thasgau sy'n gysylltiedig â'r cwmwl,
Ffynhonnell: hab.com
