Mae erthyglau go iawn yn cael eu geni o lythyrau i gymorth technegol Tucha. Er enghraifft, daeth cleient atom yn ddiweddar gyda chais i egluro beth sy'n digwydd yn ystod cysylltiadau y tu mewn i'r twnnel VPN rhwng swyddfa'r defnyddiwr ac amgylchedd y cwmwl, yn ogystal ag yn ystod cysylltiadau y tu allan i'r twnnel VPN. Felly, mae'r testun cyfan isod yn lythyr gwirioneddol a anfonwyd at un o'n cleientiaid mewn ymateb i'w gwestiwn. Wrth gwrs, newidiwyd y cyfeiriadau IP er mwyn peidio Γ’ dad-enwi'r cleient. Ond, ydy, mae cefnogaeth dechnegol Tucha yn enwog iawn am ei atebion manwl a'i e-byst llawn gwybodaeth. π
Wrth gwrs, rydym yn deall na fydd yr erthygl hon yn ddatguddiad i lawer. Ond, gan fod erthyglau ar gyfer gweinyddwyr newydd yn ymddangos ar Habr o bryd i'w gilydd, a hefyd ers i'r erthygl hon ymddangos o lythyr go iawn at gleient go iawn, byddwn yn dal i rannu'r wybodaeth hon yma. Mae tebygolrwydd uchel y bydd yn ddefnyddiol i rywun.
Felly, rydym yn esbonio'n fanwl beth sy'n digwydd rhwng y gweinydd yn y cwmwl a'r swyddfa os ydynt wedi'u cysylltu gan rwydwaith safle-i-safle. Sylwch fod rhai gwasanaethau ar gael o'r swyddfa yn unig, ac mae rhai yn hygyrch o unrhyw le ar y Rhyngrwyd.
Gadewch inni egluro ar unwaith yr hyn yr oedd ein cleient ei eisiau ar y gweinydd 192.168.A.1 gallech ddod o unrhyw le drwy RDP, cysylltu Γ’ AAA2: 13389, a mynediad i wasanaethau eraill o'r swyddfa yn unig (192.168.B.0/24)wedi'i gysylltu trwy VPN. Hefyd, roedd y cleient i ddechrau wedi ei ffurfweddu bod y car 192.168.B.2 yn y swyddfa roedd hefyd yn bosibl defnyddio RDP o unrhyw le, gan gysylltu Γ’ BBB 1: 11111. Fe wnaethom helpu i drefnu cysylltiadau IPSec rhwng y cwmwl aβr swyddfa, a dechreuodd arbenigwr TG y cwsmer ofyn cwestiynau am beth fyddaiβn digwydd yn yr achos hwn neuβr achos hwnnw. I ateb yr holl gwestiynau hyn, fe wnaethom ni, mewn gwirionedd, ysgrifennu ato bopeth y gallwch chi ei ddarllen isod.
Nawr, gadewch i ni edrych ar y prosesau hyn yn fwy manwl.
Swydd un
Pan fydd rhywbeth yn cael ei anfon o 192.168.B.0/24 Π² 192.168.A.0/24 neu o 192.168.A.0/24 Π² 192.168.B.0/24, mae'n mynd i mewn i'r VPN. Hynny yw, mae'r pecyn hwn hefyd yn cael ei amgryptio a'i drosglwyddo rhwng BBB1 ΠΈ AAA1Ond 192.168.A.1 yn gweld y pecyn yn union o 192.168.B.1. Gallant gyfathrebu Γ’'i gilydd gan ddefnyddio unrhyw brotocol. Mae atebion dychwelyd yn cael eu trosglwyddo yn yr un modd trwy'r VPN, sy'n golygu bod y pecyn o 192.168.A.1 gyfer 192.168.B.1 yn cael ei anfon fel datagram ESP o AAA1 ar BBB1, y bydd y llwybrydd yn ei agor ar yr ochr honno, tynnwch y pecyn hwnnw ohono a'i anfon ato 192.168.B.1 fel pecyn gan 192.168.A.1.
Enghraifft benodol:
1) 192.168.B.1 yn cyfeirio at 192.168.A.1, eisiau sefydlu cysylltiad TCP gyda 192.168.A.1:3389;
2) 192.168.B.1 yn anfon cais cysylltiad oddi wrth 192.168.B.1:55555 (mae'n dewis rhif y porthladd ar gyfer adborth ei hun; o hyn ymlaen byddwn yn defnyddio'r rhif 55555 fel enghraifft o'r rhif porthladd y mae'r system yn ei ddewis wrth ffurfio cysylltiad TCP) ar 192.168.A.1:3389;
3) system weithredu sy'n rhedeg ar gyfrifiadur gyda'r cyfeiriad 192.168.B.1, yn penderfynu anfon y pecyn hwn ymlaen i gyfeiriad porth y llwybrydd (192.168.B.254 yn ein hachos ni), oherwydd llwybrau eraill, mwy penodol ar gyfer 192.168.A.1, nid oes ganddo, felly, mae'n trosglwyddo'r pecyn trwy'r llwybr rhagosodedig (0.0.0.0/0);
4) ar gyfer hyn mae'n ceisio dod o hyd i'r cyfeiriad MAC ar gyfer y cyfeiriad IP 192.168.B.254 yn nhabl cache protocol ARP. Os na chaiff ei ganfod, yn anfon o'r cyfeiriad 192.168.B.1 darlledu pwy sydd Γ’ chais i'r rhwydwaith 192.168.B.0/24. Pryd 192.168.B.254 mewn ymateb, mae'n anfon ei gyfeiriad MAC ato, mae'r system yn trosglwyddo pecyn Ethernet ar ei gyfer ac yn mewnbynnu'r wybodaeth hon i'w dabl storfa;
5) mae'r llwybrydd yn derbyn y pecyn hwn ac yn penderfynu ble i'w anfon ymlaen: mae ganddo bolisi ysgrifenedig y mae'n rhaid iddo anfon yr holl becynnau rhwng 192.168.B.0/24 ΠΈ 192.168.A.0/24 trosglwyddo dros gysylltiad VPN rhwng BBB1 ΠΈ AAA1;
6) mae'r llwybrydd yn cynhyrchu datagram ESP o BBB1 ar AAA1;
7) mae'r llwybrydd yn penderfynu at bwy i anfon y pecyn hwn, mae'n ei anfon, dywedwch, BBB254 (Porth ISP) oherwydd bod llwybrau mwy penodol i AAA1, na 0.0.0.0/0, nid oes ganddo;
8) yn union yr un fath ag y dywedwyd eisoes, mae'n dod o hyd i'r cyfeiriad MAC ar gyfer BBB254 ac yn trosglwyddo'r pecyn i borth ISP;
9) Mae darparwyr rhyngrwyd yn trosglwyddo datagram ESP o BBB1 ar AAA1;
10) llwybrydd rhithwir ymlaen AAA1 yn derbyn y datagram hwn, yn ei ddadgryptio ac yn derbyn pecyn ganddo 192.168.B.1:55555 gyfer 192.168.A.1:3389;
11) mae'r llwybrydd rhithwir yn gwirio at bwy i'w drosglwyddo, yn dod o hyd i'r rhwydwaith yn y tabl llwybro 192.168.A.0/24 ac yn ei anfon yn uniongyrchol i 192.168.A.1, oherwydd mae ganddo ryngwyneb 192.168.A.254/24;
12) ar gyfer hyn, mae'r llwybrydd rhithwir yn dod o hyd i'r cyfeiriad MAC ar gyfer 192.168.A.1 ac yn trosglwyddo'r pecyn hwn iddo trwy rwydwaith Ethernet rhithwir;
13) 192.168.A.1 yn derbyn y pecyn hwn ar borth 3389, yn cytuno i sefydlu cysylltiad ac yn cynhyrchu pecyn mewn ymateb gan 192.168.A.1:3389 ar 192.168.B.1:55555;
14) mae ei system yn trosglwyddo'r pecyn hwn i gyfeiriad porth y llwybrydd rhithwir (192.168.A.254 yn ein hachos ni), oherwydd llwybrau eraill, mwy penodol ar gyfer 192.168.B.1, nid oes ganddo, felly, mae'n rhaid iddo drosglwyddo'r pecyn trwy'r llwybr rhagosodedig (0.0.0.0/0);
15) yr un peth ag mewn achosion blaenorol, system sy'n rhedeg ar weinydd gyda'r cyfeiriad 192.168.A.1, yn dod o hyd i'r cyfeiriad MAC 192.168.A.254, gan ei fod ar yr un rhwydwaith Γ’'i ryngwyneb 192.168.A.1/24;
16) mae'r llwybrydd rhithwir yn derbyn y pecyn hwn ac yn penderfynu ble i'w anfon ymlaen: mae ganddo bolisi ysgrifenedig y mae'n rhaid iddo anfon yr holl becynnau rhwng 192.168.A.0/24 ΠΈ 192.168.B.0/24 trosglwyddo dros gysylltiad VPN rhwng AAA1 ΠΈ BBB1;
17) mae'r llwybrydd rhithwir yn cynhyrchu datagram ESP o AAA1 gyfer BBB1;
18) mae'r llwybrydd rhithwir yn penderfynu at bwy i anfon y pecyn hwn, yn ei anfon AAA254 (Porth ISP, yn yr achos hwn, dyna ni hefyd), oherwydd mae llwybrau mwy penodol i BBB1, na 0.0.0.0/0, nid oes ganddo;
19) Mae darparwyr rhyngrwyd yn trosglwyddo datagram ESP dros eu rhwydweithiau gyda AAA1 ar BBB1;
20) llwybrydd ymlaen BBB1 yn derbyn y datagram hwn, yn ei ddadgryptio ac yn derbyn pecyn ganddo 192.168.A.1:3389 gyfer 192.168.B.1:55555;
21) ei fod yn deall y dylid ei drosglwyddo yn benodol i 192.168.B.1, gan ei fod ar yr un rhwydwaith ag ef, felly, mae ganddo gofnod cyfatebol yn y tabl llwybro, sy'n ei orfodi i anfon pecynnau ar gyfer y cyfan 192.168.B.0/24 yn uniongyrchol;
22) mae'r llwybrydd yn dod o hyd i'r cyfeiriad MAC ar gyfer 192.168.B.1 a dwylo iddo y pecyn hwn;
23) system weithredu ar gyfrifiadur gyda'r cyfeiriad 192.168.B.1 yn derbyn pecyn gan 192.168.A.1:3389 gyfer 192.168.B.1:55555 ac yn cychwyn y camau nesaf i sefydlu cysylltiad TCP.
Mae'r enghraifft hon yn gryno ac yn symlach (ac yma gallwch chi gofio criw o fanylion eraill) yn disgrifio beth sy'n digwydd ar lefelau 2-4. Nid yw Lefelau 1, 5-7 yn cael eu hystyried.
Swydd dau
Os gyda 192.168.B.0/24 rhywbeth yn cael ei anfon yn benodol i AAA2, nid yw'n mynd i'r VPN, ond yn uniongyrchol. Hynny yw, os yw'r defnyddiwr o'r cyfeiriad 192.168.B.1 yn cyfeirio at AAA2: 13389, daw'r pecyn hwn o'r cyfeiriad BBB1, yn pasio ymlaen AAA2, ac yna mae'r llwybrydd yn ei dderbyn ac yn ei drosglwyddo i 192.168.A.1. 192.168.A.1 ddim yn gwybod dim am 192.168.B.1, mae'n gweld pecyn o BBB1, am iddo gael ef. Felly, mae'r ymateb i'r cais hwn yn dilyn y llwybr cyffredinol, mae'n dod o'r cyfeiriad yn yr un modd AAA2 ac yn mynd i BBB1, ac mae'r llwybrydd hwnnw'n anfon yr ateb hwn i 192.168.B.1, mae'n gweld yr ateb gan AAA2, at yr hwn yr anerchodd Mr.
Enghraifft benodol:
1) 192.168.B.1 yn cyfeirio at AAA2, eisiau sefydlu cysylltiad TCP gyda AAA2: 13389;
2) 192.168.B.1 yn anfon cais cysylltiad oddi wrth 192.168.B.1:55555 (gall y rhif hwn, fel yn yr enghraifft flaenorol, fod yn wahanol) ar AAA2: 13389;
3) system weithredu sy'n rhedeg ar gyfrifiadur gyda'r cyfeiriad 192.168.B.1, yn penderfynu anfon y pecyn hwn ymlaen i gyfeiriad porth y llwybrydd (192.168.B.254 yn ein hachos ni), oherwydd llwybrau eraill, mwy penodol ar gyfer AAA2, nid oes ganddo un, sy'n golygu ei fod yn trosglwyddo'r pecyn trwy'r llwybr rhagosodedig (0.0.0.0/0);
4) ar gyfer hyn, fel y soniasom yn yr enghraifft flaenorol, mae'n ceisio dod o hyd i'r cyfeiriad MAC ar gyfer y cyfeiriad IP 192.168.B.254 yn nhabl cache protocol ARP. Os na chaiff ei ganfod, yn anfon o'r cyfeiriad 192.168.B.1 darlledu pwy sydd Γ’ chais i'r rhwydwaith 192.168.B.0/24. Pryd 192.168.B.254 mewn ymateb, mae'n anfon ei gyfeiriad MAC ato, mae'r system yn trosglwyddo pecyn Ethernet ar ei gyfer ac yn mewnbynnu'r wybodaeth hon i'w dabl storfa;
5) mae'r llwybrydd yn derbyn y pecyn hwn ac yn penderfynu ble i'w anfon ymlaen: mae ganddo bolisi ysgrifenedig y mae'n rhaid iddo anfon (yn lle'r cyfeiriad dychwelyd) yr holl becynnau o 192.168.B.0/24 i nodau Rhyngrwyd eraill;
6) gan fod y polisi hwn yn awgrymu bod yn rhaid i'r cyfeiriad dychwelyd gyd-fynd Γ’'r cyfeiriad isel ar y rhyngwyneb y bydd y pecyn hwn yn cael ei drosglwyddo trwyddo, mae'r llwybrydd yn gyntaf yn penderfynu at bwy yn union i anfon y pecyn hwn, ac mae'n rhaid iddo, fel yn yr enghraifft flaenorol, ei anfon i BBB254 (Porth ISP) oherwydd bod llwybrau mwy penodol i AAA2, na 0.0.0.0/0, nid oes ganddo;
7) felly, mae'r llwybrydd yn disodli cyfeiriad dychwelyd y pecyn, o hyn ymlaen mae'r pecyn yn dod BBB 1: 44444 (Gall rhif porthladd, wrth gwrs, fod yn wahanol) i AAA2: 13389;
8) mae'r llwybrydd yn cofio beth wnaeth, sy'n golygu pryd AAA2: 13389 ΠΊ BBB 1: 44444 ymateb yn cyrraedd, bydd yn gwybod y dylai newid y cyfeiriad cyrchfan a'r porthladd i 192.168.B.1:55555.
9) nawr dylai'r llwybrydd ei drosglwyddo i'r rhwydwaith ISP trwy BBB254felly, yn union fel y soniasom eisoes, mae'n dod o hyd i'r cyfeiriad MAC ar gyfer BBB254 ac yn trosglwyddo'r pecyn i borth ISP;
10) Mae darparwyr rhyngrwyd yn trosglwyddo pecynnau o BBB1 ar AAA2;
11) llwybrydd rhithwir ymlaen AAA2 yn derbyn y pecyn hwn ar borthladd 13389;
12) mae rheol ar y llwybrydd rhithwir sy'n nodi y dylid trosglwyddo pecynnau a dderbynnir gan unrhyw anfonwr ar y porth hwn i 192.168.A.1:3389;
13) mae'r llwybrydd rhithwir yn dod o hyd i'r rhwydwaith yn y tabl llwybro 192.168.A.0/24 ac yn ei anfon yn uniongyrchol 192.168.A.1 oherwydd bod ganddo ryngwyneb 192.168.A.254/24;
14) ar gyfer hyn, mae'r llwybrydd rhithwir yn dod o hyd i'r cyfeiriad MAC ar gyfer 192.168.A.1 ac yn trosglwyddo'r pecyn hwn iddo trwy rwydwaith Ethernet rhithwir;
15) 192.168.A.1 yn derbyn y pecyn hwn ar borth 3389, yn cytuno i sefydlu cysylltiad ac yn cynhyrchu pecyn mewn ymateb gan 192.168.A.1:3389 ar BBB 1: 44444;
16) mae ei system yn trosglwyddo'r pecyn hwn i gyfeiriad porth y llwybrydd rhithwir (192.168.A.254 yn ein hachos ni), oherwydd llwybrau eraill, mwy penodol ar gyfer BBB1, nid oes ganddo, felly, mae'n rhaid iddo drosglwyddo'r pecyn trwy'r llwybr rhagosodedig (0.0.0.0/0);
17) yn yr un modd ag mewn achosion blaenorol, system sy'n rhedeg ar weinydd gyda'r cyfeiriad 192.168.A.1, yn dod o hyd i'r cyfeiriad MAC 192.168.A.254, gan ei fod ar yr un rhwydwaith Γ’'i ryngwyneb 192.168.A.1/24;
18) mae'r llwybrydd rhithwir yn derbyn y pecyn hwn. Dylid nodi ei fod yn cofio am yr hyn a gafodd AAA2: 13389 pecyn o BBB 1: 44444 a newidiodd gyfeiriad a phorth ei dderbynnydd i 192.168.A.1:3389, felly, y pecyn o 192.168.A.1:3389 gyfer BBB 1: 44444 mae'n newid y cyfeiriad anfonwr i AAA2: 13389;
19) mae'r llwybrydd rhithwir yn penderfynu at bwy i anfon y pecyn hwn, mae'n ei anfon AAA254 (Porth ISP, yn yr achos hwn, dyna ni hefyd), oherwydd mae llwybrau mwy penodol i BBB1, na 0.0.0.0/0, nid oes ganddo;
20) Mae darparwyr rhyngrwyd yn trosglwyddo pecyn gyda AAA2 ar BBB1;
21) llwybrydd ymlaen BBB1 yn derbyn y pecyn hwn ac yn cofio hynny pan anfonodd y paced o 192.168.B.1:55555 gyfer AAA2: 13389, newidiodd ei gyfeiriad a'i borth anfonwr i BBB 1: 44444, yna dyma'r ymateb y mae angen ei anfon ato 192.168.B.1:55555 (mewn gwirionedd, mae yna sawl gwiriad arall yno, ond nid ydym yn mynd yn ddwfn i hynny);
22) mae'n deall y dylid ei drosglwyddo'n uniongyrchol i 192.168.B.1, gan ei fod ar yr un rhwydwaith ag ef, felly, mae ganddo gofnod cyfatebol yn y tabl llwybro, sy'n ei orfodi i anfon pecynnau ar gyfer y cyfan 192.168.B.0/24 yn uniongyrchol;
23) mae'r llwybrydd yn dod o hyd i'r cyfeiriad MAC ar gyfer 192.168.B.1 a dwylo iddo y pecyn hwn;
24) system weithredu ar gyfrifiadur gyda'r cyfeiriad 192.168.B.1 yn derbyn pecyn gan AAA2: 13389 gyfer 192.168.B.1:55555 ac yn cychwyn y camau nesaf i sefydlu cysylltiad TCP.
Dylid nodi bod yn yr achos hwn y cyfrifiadur gyda'r cyfeiriad 192.168.B.1 yn gwybod dim am y gweinydd gyda'r cyfeiriad 192.168.A.1, dim ond cyfathrebu Γ’ AAA2. Yn yr un modd, y gweinydd gyda'r cyfeiriad 192.168.A.1 yn gwybod dim am y cyfrifiadur gyda'r cyfeiriad 192.168.B.1. Mae'n credu ei fod yn gysylltiedig o'r cyfeiriad BBB1, ac nid yw'n gwybod dim arall, fel petai.
Dylid nodi hefyd os yw'r cyfrifiadur hwn yn cyrchu AAA2: 1540, ni fydd y cysylltiad yn cael ei sefydlu oherwydd nid yw anfon ymlaen cysylltiad i borth 1540 wedi'i ffurfweddu ar y llwybrydd rhithwir, hyd yn oed os ar unrhyw weinyddion yn y rhwydwaith rhithwir 192.168.A.0/24 (er enghraifft, ar weinydd gyda'r cyfeiriad 192.168.A.1) ac mae rhai gwasanaethau yn aros am gysylltiadau ar y porthladd hwn. Os yw defnyddiwr cyfrifiadur gyda chyfeiriad 192.168.B.1 Mae'n hanfodol sefydlu cysylltiad Γ’'r gwasanaeth hwn, rhaid iddo ddefnyddio VPN, h.y. cysylltwch yn uniongyrchol 192.168.A.1:1540.
Dylid pwysleisio bod unrhyw ymgais i sefydlu cysylltiad Γ’ AAA1 (heblaw am y cysylltiad IPSec o'r BBB1 ni fydd yn llwyddiannus. Unrhyw ymdrechion i sefydlu cysylltiadau Γ’ AAA2, ac eithrio ar gyfer cysylltiadau Γ’ phorthladd 13389, ni fydd hefyd yn llwyddiannus.
Nodwn hefyd os am AAA2 Os bydd rhywun arall yn gwneud cais (er enghraifft, CCCC), bydd popeth a nodir ym mharagraffau 10-20 yn berthnasol iddo ef hefyd. Mae'r hyn sy'n digwydd cyn ac ar Γ΄l hyn yn dibynnu ar beth yn union sydd y tu Γ΄l i'r CCCC hwn Nid oes gennym wybodaeth o'r fath, felly rydym yn eich cynghori i ymgynghori Γ’ gweinyddwyr y nod gyda'r cyfeiriad CCCC
Safle tri
Ac, i'r gwrthwyneb, os gyda 192.168.A.1 mae rhywbeth yn cael ei anfon i ryw borthladd sydd wedi'i ffurfweddu i'w anfon ymlaen i mewn i BBB1 (er enghraifft, 11111), nid yw hefyd yn y pen draw yn y VPN, ond yn syml yn llifo o AAA1 ac yn mynd i mewn BBB1, ac y mae eisoes yn ei drosglwyddo yn rhywle yn, dyweder, 192.168.B.2:3389. Mae'n gweld y pecyn hwn nid o 192.168.A.1, ac o AAA1. A phryd 192.168.B.2 atebion, mae'r pecyn yn dod o BBB1 ar AAA1, ac yn ddiweddarach yn cyrraedd y cychwynnwr cysylltiad - 192.168.A.1.
Enghraifft benodol:
1) 192.168.A.1 yn cyfeirio at BBB1, eisiau sefydlu cysylltiad TCP gyda BBB 1: 11111;
2) 192.168.A.1 yn anfon cais cysylltiad oddi wrth 192.168.A.1:55555 (gall y rhif hwn, fel yn yr enghraifft flaenorol, fod yn wahanol) ar BBB 1: 11111;
3) system weithredu sy'n rhedeg ar weinydd gyda'r cyfeiriad 192.168.A.1, yn penderfynu anfon y pecyn hwn ymlaen i gyfeiriad porth y llwybrydd (192.168.A.254 yn ein hachos ni), oherwydd llwybrau eraill, mwy penodol ar gyfer BBB1, nid oes ganddo, felly, mae'n trosglwyddo'r pecyn trwy'r llwybr rhagosodedig (0.0.0.0/0);
4) ar gyfer hyn, fel y soniasom mewn enghreifftiau blaenorol, mae'n ceisio dod o hyd i'r cyfeiriad MAC ar gyfer y cyfeiriad IP 192.168.A.254 yn nhabl cache protocol ARP. Os na chaiff ei ganfod, yn anfon o'r cyfeiriad 192.168.A.1 darlledu pwy sydd Γ’ chais i'r rhwydwaith 192.168.A.0/24. Pryd 192.168.A.254 mewn ymateb, mae'n anfon ei gyfeiriad MAC ati, mae'r system yn trosglwyddo pecyn Ethernet ar ei gyfer ac yn mewnbynnu'r wybodaeth hon yn ei thabl storfa;
5) mae'r llwybrydd rhithwir yn derbyn y pecyn hwn ac yn penderfynu ble i'w anfon ymlaen: mae ganddo bolisi ysgrifenedig y mae'n rhaid iddo anfon (yn lle'r cyfeiriad dychwelyd) yr holl becynnau o 192.168.A.0/24 i nodau Rhyngrwyd eraill;
6) gan fod y polisi hwn yn rhagdybio bod yn rhaid i'r cyfeiriad dychwelyd gyd-fynd Γ’'r cyfeiriad isel ar y rhyngwyneb y bydd y pecyn hwn yn cael ei drosglwyddo trwyddo, mae'r llwybrydd rhithwir yn penderfynu yn union at bwy yn union i anfon y pecyn hwn, ac mae'n rhaid iddo, fel yn yr enghraifft flaenorol, anfon mae ar AAA254 (Porth ISP, yn yr achos hwn, dyna ni hefyd), oherwydd mae llwybrau mwy penodol i BBB1, na 0.0.0.0/0, nid oes ganddo;
7) mae hyn yn golygu bod y llwybrydd rhithwir yn disodli cyfeiriad dychwelyd y pecyn, o hyn ymlaen mae'n becyn o AAA1: 44444 (Gall rhif porthladd, wrth gwrs, fod yn wahanol) i BBB 1: 11111;
8) mae'r llwybrydd rhithwir yn cofio beth wnaeth, felly, o ba bryd BBB 1: 11111 gyfer AAA1: 44444 ymateb yn cyrraedd, bydd yn gwybod y dylai newid y cyfeiriad cyrchfan a'r porthladd i 192.168.A.1:55555.
9) nawr dylai'r llwybrydd rhithwir ei drosglwyddo i'r rhwydwaith ISP trwy AAA254, felly yn union fel y soniasom eisoes, mae'n dod o hyd i'r cyfeiriad MAC ar gyfer AAA254 ac yn trosglwyddo'r pecyn i borth ISP;
10) Mae darparwyr rhyngrwyd yn trosglwyddo pecynnau o AAA1 i BBB1;
11) llwybrydd ymlaen BBB1 yn derbyn y pecyn hwn ar borthladd 11111;
12) mae rheol ar y llwybrydd rhithwir sy'n nodi y dylid trosglwyddo pecynnau a gyrhaeddodd gan unrhyw anfonwr ar y porthladd hwn i 192.168.B.2:3389;
13) mae'r llwybrydd yn dod o hyd i'r rhwydwaith yn y tabl llwybro 192.168.B.0/24 ac yn ei anfon yn uniongyrchol i 192.168.B.2, oherwydd mae ganddo ryngwyneb 192.168.B.254/24;
14) ar gyfer hyn, mae'r llwybrydd rhithwir yn dod o hyd i'r cyfeiriad MAC ar gyfer 192.168.B.2 ac yn trosglwyddo'r pecyn hwn iddo trwy rwydwaith Ethernet rhithwir;
15) 192.168.B.2 yn derbyn y pecyn hwn ar borth 3389, yn cytuno i sefydlu cysylltiad ac yn cynhyrchu pecyn mewn ymateb gan 192.168.B.2:3389 ar AAA1: 44444;
16) mae ei system yn trosglwyddo'r pecyn hwn i gyfeiriad porth y llwybrydd (192.168.B.254 yn ein hachos ni), oherwydd llwybrau eraill, mwy penodol ar gyfer AAA1, nid oes ganddo, felly, mae'n rhaid iddo drosglwyddo'r pecyn trwy'r llwybr rhagosodedig (0.0.0.0/0);
17) yn yr un modd ag mewn achosion blaenorol, system sy'n rhedeg ar gyfrifiadur gyda'r cyfeiriad 192.168.B.2, yn dod o hyd i'r cyfeiriad MAC 192.168.B.254, gan ei fod ar yr un rhwydwaith Γ’'i ryngwyneb 192.168.B.2/24;
18) mae'r llwybrydd yn derbyn y pecyn hwn. Dylid nodi ei fod yn cofio am yr hyn a gafodd BBB 1: 11111 pecyn o AAA1 a newidiodd gyfeiriad a phorth ei dderbynnydd i 192.168.B.2:3389, felly, y pecyn o 192.168.B.2:3389 gyfer AAA1: 44444 mae'n newid y cyfeiriad anfonwr i BBB 1: 11111;
19) mae'r llwybrydd yn penderfynu at bwy i anfon y pecyn hwn. Mae'n ei anfon i, dywedwch, BBB254 (Porth ISP, nad ydym yn gwybod ei union gyfeiriad), oherwydd nid oes llwybrau mwy penodol iddo AAA1, na 0.0.0.0/0, nid oes ganddo;
20) Mae darparwyr rhyngrwyd yn trosglwyddo pecyn gyda BBB1 ar AAA1;
21) llwybrydd rhithwir ymlaen AAA1 yn derbyn y pecyn hwn ac yn cofio hynny pan anfonodd y paced o 192.168.A.1:55555 gyfer BBB 1: 11111, newidiodd ei gyfeiriad a'i borth anfonwr i AAA1: 44444. Mae hyn yn golygu mai dyma'r ateb y mae angen anfon ato 192.168.A.1:55555 (mewn gwirionedd, fel y soniasom yn yr enghraifft flaenorol, mae yna hefyd sawl gwiriad arall, ond y tro hwn nid ydym yn mynd i ddyfnder gyda nhw);
22) mae'n deall y dylid ei drosglwyddo'n uniongyrchol i 192.168.A.1, gan ei fod ar yr un rhwydwaith ag ef, mae'n golygu bod ganddo gofnod cyfatebol yn y tabl llwybro sy'n ei orfodi i anfon pecynnau i'r cyfan 192.168.A.0/24 yn uniongyrchol;
23) mae'r llwybrydd yn dod o hyd i'r cyfeiriad MAC ar gyfer 192.168.A.1 a dwylo iddo y pecyn hwn;
24) system weithredu ar y gweinydd gyda'r cyfeiriad 192.168.A.1 yn derbyn pecyn gan BBB 1: 11111 am 192.168.A.1:55555 ac yn cychwyn y camau nesaf i sefydlu cysylltiad TCP.
Yn union yr un fath ag yn yr achos blaenorol, yn yr achos hwn y gweinydd gyda'r cyfeiriad 192.168.A.1 yn gwybod dim am y cyfrifiadur gyda'r cyfeiriad 192.168.B.1, dim ond cyfathrebu Γ’ BBB1. Cyfrifiadur gyda chyfeiriad 192.168.B.1 hefyd yn gwybod dim am y gweinydd gyda'r cyfeiriad 192.168.A.1. Mae'n credu ei fod yn gysylltiedig o'r cyfeiriad AAA1, a'r gweddill yn guddiedig rhagddo.
Allbwn
Dyma sut mae popeth yn digwydd ar gyfer cysylltiadau y tu mewn i'r twnnel VPN rhwng swyddfa'r cleient ac amgylchedd y cwmwl, yn ogystal ag ar gyfer cysylltiadau y tu allan i'r twnnel VPN. Ac os oes gennych unrhyw gwestiynau neu angen ein help i ddatrys problemau cwmwl,
Ffynhonnell: hab.com