ProHoster > Blog > διαχείριση > Τι συμβαίνει στις συνδέσεις εντός και εκτός της σήραγγας VPN

Τι συμβαίνει στις συνδέσεις εντός και εκτός της σήραγγας VPN

Τα πραγματικά άρθρα γεννιούνται από επιστολές προς την τεχνική υποστήριξη Tucha. Για παράδειγμα, μας προσέγγισε πρόσφατα ένας πελάτης με αίτημα να διευκρινίσουμε τι συμβαίνει κατά τις συνδέσεις εντός της σήραγγας VPN μεταξύ του γραφείου του χρήστη και του περιβάλλοντος cloud, καθώς και κατά τη διάρκεια συνδέσεων εκτός του τούνελ VPN. Επομένως, ολόκληρο το παρακάτω κείμενο είναι μια πραγματική επιστολή που στείλαμε σε έναν από τους πελάτες μας ως απάντηση στην ερώτησή του. Φυσικά, οι διευθύνσεις IP άλλαξαν για να μην αποανωνυμοποιηθεί ο πελάτης. Αλλά, ναι, η τεχνική υποστήριξη Tucha είναι πραγματικά διάσημη για τις λεπτομερείς απαντήσεις και τα ενημερωτικά email της. 🙂

Φυσικά, καταλαβαίνουμε ότι για πολλούς αυτό το άρθρο δεν θα είναι αποκάλυψη. Όμως, καθώς άρθρα για αρχάριους διαχειριστές εμφανίζονται στο Habr κατά καιρούς, καθώς και επειδή αυτό το άρθρο εμφανίστηκε από μια πραγματική επιστολή σε έναν πραγματικό πελάτη, θα συνεχίσουμε να κοινοποιούμε αυτές τις πληροφορίες εδώ. Υπάρχει μεγάλη πιθανότητα να είναι χρήσιμο σε κάποιον.
Επομένως, εξηγούμε λεπτομερώς τι συμβαίνει μεταξύ του διακομιστή στο cloud και του γραφείου, εάν είναι συνδεδεμένοι μέσω ενός δικτύου τοποθεσίας σε τοποθεσία. Σημειώστε ότι ορισμένες υπηρεσίες είναι προσβάσιμες μόνο από το γραφείο και ορισμένες είναι προσβάσιμες από οπουδήποτε στο Διαδίκτυο.

Ας εξηγήσουμε αμέσως τι ήθελε ο πελάτης μας στον διακομιστή 192.168.A.1 θα μπορούσατε να έρθετε από οπουδήποτε μέσω RDP, με σύνδεση σε AAA2:13389, και πρόσβαση σε άλλες υπηρεσίες μόνο από το γραφείο (192.168.B.0/24)συνδεδεμένο μέσω VPN. Επίσης, ο πελάτης είχε αρχικά ρυθμίσει ότι το αυτοκίνητο 192.168.B.2 στο γραφείο ήταν επίσης δυνατή η χρήση RDP από οπουδήποτε, με σύνδεση σε BBB1: 11111. Βοηθήσαμε στην οργάνωση των συνδέσεων IPSec μεταξύ του cloud και του γραφείου και ο ειδικός πληροφορικής του πελάτη άρχισε να κάνει ερωτήσεις σχετικά με το τι θα συνέβαινε σε αυτήν ή εκείνη την περίπτωση. Για να απαντήσουμε σε όλα αυτά τα ερωτήματα, μάλιστα, του γράψαμε όλα όσα μπορείτε να διαβάσετε παρακάτω.

Τι συμβαίνει στις συνδέσεις εντός και εκτός της σήραγγας VPN

Τώρα ας δούμε αυτές τις διαδικασίες με περισσότερες λεπτομέρειες.

Θέση ένα

Όταν κάτι αποστέλλεται από 192.168.Β.0/24 в 192.168.Α.0/24 ή από 192.168.Α.0/24 в 192.168.Β.0/24, μπαίνει στο VPN. Δηλαδή, αυτό το πακέτο κρυπτογραφείται επιπλέον και μεταδίδεται μεταξύ τους BBB1 и ΑΑΑ1Αλλά 192.168.A.1 βλέπει το πακέτο ακριβώς από 192.168.B.1. Μπορούν να επικοινωνούν μεταξύ τους χρησιμοποιώντας οποιοδήποτε πρωτόκολλο. Οι απαντήσεις επιστροφής μεταδίδονται με τον ίδιο τρόπο μέσω του VPN, πράγμα που σημαίνει ότι το πακέτο από 192.168.A.1 για 192.168.B.1 θα σταλεί ως datagram ESP από ΑΑΑ1 επί BBB1, το οποίο ο δρομολογητής θα ξεδιπλώσει σε εκείνη την πλευρά, θα βγάλει αυτό το πακέτο από αυτό και θα το στείλει 192.168.B.1 ως πακέτο από 192.168.A.1.

Συγκεκριμένο παράδειγμα:

1) 192.168.B.1 απευθύνει έκκληση σε 192.168.A.1, θέλει να δημιουργήσει μια σύνδεση TCP με 192.168.A.1:3389;

2) 192.168.B.1 στέλνει ένα αίτημα σύνδεσης από 192.168.B.1:55555 (επιλέγει ο ίδιος τον αριθμό θύρας για ανατροφοδότηση· στο εξής θα χρησιμοποιούμε τον αριθμό 55555 ως παράδειγμα του αριθμού θύρας που επιλέγει το σύστημα κατά τη δημιουργία μιας σύνδεσης TCP) 192.168.A.1:3389;

3) ένα λειτουργικό σύστημα που εκτελείται σε υπολογιστή με τη διεύθυνση 192.168.B.1, αποφασίζει να προωθήσει αυτό το πακέτο στη διεύθυνση πύλης του δρομολογητή (192.168.B.254 στην περίπτωσή μας), γιατί άλλες, πιο συγκεκριμένες διαδρομές για 192.168.A.1, δεν έχει, επομένως, μεταδίδει το πακέτο μέσω της προεπιλεγμένης διαδρομής (0.0.0.0/0).

4) για αυτό προσπαθεί να βρει τη διεύθυνση MAC για τη διεύθυνση IP 192.168.B.254 στον πίνακα προσωρινής μνήμης πρωτοκόλλου ARP. Εάν δεν εντοπιστεί, αποστέλλεται από τη διεύθυνση 192.168.B.1 μετάδοση ποιος έχει αίτημα στο δίκτυο 192.168.Β.0/24. Πότε 192.168.B.254 Σε απόκριση, του στέλνει τη διεύθυνση MAC του, το σύστημα μεταδίδει ένα πακέτο Ethernet για αυτό και εισάγει αυτές τις πληροφορίες στον πίνακα της κρυφής μνήμης.

5) ο δρομολογητής λαμβάνει αυτό το πακέτο και αποφασίζει πού θα το προωθήσει: έχει μια γραπτή πολιτική σύμφωνα με την οποία πρέπει να στείλει όλα τα πακέτα μεταξύ 192.168.Β.0/24 и 192.168.Α.0/24 μεταφορά μέσω σύνδεσης VPN μεταξύ BBB1 и ΑΑΑ1;

6) ο δρομολογητής δημιουργεί ένα datagram ESP από BBB1 επί ΑΑΑ1;

7) ο δρομολογητής αποφασίζει σε ποιον θα στείλει αυτό το πακέτο, το στέλνει, ας πούμε, BBB254 (ISP gateway) γιατί υπάρχουν πιο συγκεκριμένες διαδρομές προς ΑΑΑ1, από 0.0.0.0/0, δεν έχει?

8) ακριβώς το ίδιο όπως ήδη αναφέρθηκε, βρίσκει τη διεύθυνση MAC για BBB254 και μεταδίδει το πακέτο στην πύλη ISP.

9) Οι πάροχοι Διαδικτύου μεταδίδουν ένα datagram ESP από BBB1 επί ΑΑΑ1;

10) ενεργοποιημένος εικονικός δρομολογητής ΑΑΑ1 λαμβάνει αυτό το datagram, το αποκρυπτογραφεί και λαμβάνει ένα πακέτο από 192.168.B.1:55555 για 192.168.A.1:3389;

11) ο εικονικός δρομολογητής ελέγχει σε ποιον να το διαβιβάσει, βρίσκει το δίκτυο στον πίνακα δρομολόγησης 192.168.Α.0/24 και το στέλνει απευθείας στο 192.168.A.1, γιατί έχει διεπαφή 192.168.Α.254/24;

12) για αυτό, ο εικονικός δρομολογητής βρίσκει τη διεύθυνση MAC για 192.168.A.1 και του μεταδίδει αυτό το πακέτο μέσω ενός εικονικού δικτύου Ethernet.

13) 192.168.A.1 λαμβάνει αυτό το πακέτο στη θύρα 3389, συμφωνεί να δημιουργήσει μια σύνδεση και δημιουργεί ένα πακέτο ως απόκριση από 192.168.A.1:3389 επί 192.168.B.1:55555;

14) το σύστημά του μεταδίδει αυτό το πακέτο στη διεύθυνση πύλης του εικονικού δρομολογητή (192.168.A.254 στην περίπτωσή μας), γιατί άλλες, πιο συγκεκριμένες διαδρομές για 192.168.B.1, δεν έχει, επομένως, πρέπει να μεταδώσει το πακέτο μέσω της προεπιλεγμένης διαδρομής (0.0.0.0/0).

15) το ίδιο όπως σε προηγούμενες περιπτώσεις, ένα σύστημα που εκτελείται σε διακομιστή με τη διεύθυνση 192.168.A.1, βρίσκει τη διεύθυνση MAC 192.168.A.254, αφού βρίσκεται στο ίδιο δίκτυο με τη διεπαφή του 192.168.Α.1/24;

16) ο εικονικός δρομολογητής λαμβάνει αυτό το πακέτο και αποφασίζει πού θα το προωθήσει: έχει μια γραπτή πολιτική σύμφωνα με την οποία πρέπει να στείλει όλα τα πακέτα μεταξύ 192.168.Α.0/24 и 192.168.Β.0/24 μεταφορά μέσω σύνδεσης VPN μεταξύ ΑΑΑ1 и BBB1;

17) ο εικονικός δρομολογητής δημιουργεί ένα datagram ESP από ΑΑΑ1 για BBB1;

18) ο εικονικός δρομολογητής αποφασίζει σε ποιον θα στείλει αυτό το πακέτο, το στέλνει ΑΑΑ254 (Πύλη ISP, σε αυτήν την περίπτωση, είμαστε και εμείς), γιατί υπάρχουν πιο συγκεκριμένες διαδρομές προς BBB1, από 0.0.0.0/0, δεν έχει?

19) Οι πάροχοι Διαδικτύου μεταδίδουν ένα datagram ESP μέσω των δικτύων τους με ΑΑΑ1 επί BBB1;

20) ενεργοποιημένος δρομολογητής BBB1 λαμβάνει αυτό το datagram, το αποκρυπτογραφεί και λαμβάνει ένα πακέτο από 192.168.A.1:3389 για 192.168.B.1:55555;

21) καταλαβαίνει ότι πρέπει να μεταφερθεί ειδικά σε 192.168.B.1, αφού βρίσκεται στο ίδιο δίκτυο με αυτόν, επομένως, έχει αντίστοιχη καταχώρηση στον πίνακα δρομολόγησης, η οποία τον αναγκάζει να στείλει πακέτα για ολόκληρο το 192.168.Β.0/24 κατευθείαν;

22) ο δρομολογητής βρίσκει τη διεύθυνση MAC για 192.168.B.1 και του δίνει αυτό το πακέτο.

23) λειτουργικό σύστημα σε υπολογιστή με τη διεύθυνση 192.168.B.1 λαμβάνει ένα πακέτο από 192.168.A.1:3389 για 192.168.B.1:55555 και ξεκινά τα επόμενα βήματα για τη δημιουργία μιας σύνδεσης TCP.

Αυτό το παράδειγμα αρκετά συνοπτικά και απλοποιημένα (και εδώ μπορείτε να θυμηθείτε πολλές άλλες λεπτομέρειες) περιγράφει τι συμβαίνει στα επίπεδα 2-4. Τα επίπεδα 1, 5-7 δεν λαμβάνονται υπόψη.

Θέση δύο

Αν με 192.168.Β.0/24 κάτι αποστέλλεται ειδικά σε ΑΑΑ2, δεν πηγαίνει στο VPN, αλλά απευθείας. Αν δηλαδή ο χρήστης από τη διεύθυνση 192.168.B.1 απευθύνει έκκληση σε AAA2:13389, αυτό το πακέτο προέρχεται από τη διεύθυνση BBB1, περνάει ΑΑΑ2, και στη συνέχεια ο δρομολογητής το λαμβάνει και το μεταδίδει σε 192.168.A.1. 192.168.A.1 δεν ξέρει τίποτα για 192.168.B.1, βλέπει ένα πακέτο από BBB1, γιατί τον πήρε. Επομένως, η απάντηση σε αυτό το αίτημα ακολουθεί τη γενική διαδρομή, προέρχεται από τη διεύθυνση με τον ίδιο τρόπο ΑΑΑ2 και πηγαίνει στο BBB1, και αυτός ο δρομολογητής στέλνει αυτήν την απάντηση 192.168.B.1, βλέπει την απάντηση από ΑΑΑ2, στους οποίους απευθύνθηκε.

Συγκεκριμένο παράδειγμα:

1) 192.168.B.1 απευθύνει έκκληση σε ΑΑΑ2, θέλει να δημιουργήσει μια σύνδεση TCP με AAA2:13389;

2) 192.168.B.1 στέλνει ένα αίτημα σύνδεσης από 192.168.B.1:55555 (αυτός ο αριθμός, όπως στο προηγούμενο παράδειγμα, μπορεί να είναι διαφορετικός) στο AAA2:13389;

3) ένα λειτουργικό σύστημα που εκτελείται σε υπολογιστή με τη διεύθυνση 192.168.B.1, αποφασίζει να προωθήσει αυτό το πακέτο στη διεύθυνση πύλης του δρομολογητή (192.168.B.254 στην περίπτωσή μας), γιατί άλλες, πιο συγκεκριμένες διαδρομές για ΑΑΑ2, δεν έχει, πράγμα που σημαίνει ότι μεταδίδει το πακέτο μέσω της προεπιλεγμένης διαδρομής (0.0.0.0/0).

4) για αυτό, όπως αναφέραμε στο προηγούμενο παράδειγμα, προσπαθεί να βρει τη διεύθυνση MAC για τη διεύθυνση IP 192.168.B.254 στον πίνακα προσωρινής μνήμης πρωτοκόλλου ARP. Εάν δεν εντοπιστεί, αποστέλλεται από τη διεύθυνση 192.168.B.1 μετάδοση ποιος έχει αίτημα στο δίκτυο 192.168.Β.0/24. Πότε 192.168.B.254 Σε απόκριση, του στέλνει τη διεύθυνση MAC του, το σύστημα μεταδίδει ένα πακέτο Ethernet για αυτό και εισάγει αυτές τις πληροφορίες στον πίνακα της κρυφής μνήμης.

5) ο δρομολογητής λαμβάνει αυτό το πακέτο και αποφασίζει πού θα το προωθήσει: έχει μια γραπτή πολιτική σύμφωνα με την οποία πρέπει να προωθήσει (αντικαθιστώντας τη διεύθυνση επιστροφής) όλα τα πακέτα από 192.168.Β.0/24 σε άλλους κόμβους Διαδικτύου·

6) καθώς αυτή η πολιτική συνεπάγεται ότι η διεύθυνση επιστροφής πρέπει να ταιριάζει με τη χαμηλή διεύθυνση στη διεπαφή μέσω της οποίας θα μεταδοθεί αυτό το πακέτο, ο δρομολογητής αποφασίζει πρώτα σε ποιον ακριβώς θα στείλει αυτό το πακέτο και, όπως στο προηγούμενο παράδειγμα, πρέπει να το στείλει προς την BBB254 (ISP gateway) γιατί υπάρχουν πιο συγκεκριμένες διαδρομές προς ΑΑΑ2, από 0.0.0.0/0, δεν έχει?

7) επομένως, ο δρομολογητής αντικαθιστά τη διεύθυνση επιστροφής του πακέτου, στο εξής το πακέτο είναι από BBB1: 44444 (ο αριθμός θύρας, φυσικά, μπορεί να είναι διαφορετικός) σε AAA2:13389;

8) ο δρομολογητής θυμάται τι έκανε, που σημαίνει πότε AAA2:13389 к BBB1: 44444 φτάνει η απάντηση, θα ξέρει ότι πρέπει να αλλάξει τη διεύθυνση προορισμού και τη θύρα σε 192.168.B.1:55555.

9) τώρα ο δρομολογητής πρέπει να το περάσει στο δίκτυο ISP μέσω BBB254Ως εκ τούτου, όπως ήδη αναφέραμε, βρίσκει τη διεύθυνση MAC για BBB254 και μεταδίδει το πακέτο στην πύλη ISP.

10) Οι πάροχοι Διαδικτύου μεταδίδουν πακέτα από BBB1 επί ΑΑΑ2;

11) ενεργοποιημένος εικονικός δρομολογητής ΑΑΑ2 λαμβάνει αυτό το πακέτο στη θύρα 13389.

12) υπάρχει ένας κανόνας στον εικονικό δρομολογητή που ορίζει ότι τα πακέτα που λαμβάνονται από οποιονδήποτε αποστολέα σε αυτήν τη θύρα πρέπει να μεταδίδονται σε 192.168.A.1:3389;

13) ο εικονικός δρομολογητής βρίσκει το δίκτυο στον πίνακα δρομολόγησης 192.168.Α.0/24 και το στέλνει απευθείας 192.168.Α.1 επειδή έχει διεπαφή 192.168.Α.254/24;

14) για αυτό, ο εικονικός δρομολογητής βρίσκει τη διεύθυνση MAC για 192.168.A.1 και του μεταδίδει αυτό το πακέτο μέσω ενός εικονικού δικτύου Ethernet.

15) 192.168.A.1 λαμβάνει αυτό το πακέτο στη θύρα 3389, συμφωνεί να δημιουργήσει μια σύνδεση και δημιουργεί ένα πακέτο ως απόκριση από 192.168.A.1:3389 επί BBB1: 44444;

16) το σύστημά του μεταδίδει αυτό το πακέτο στη διεύθυνση πύλης του εικονικού δρομολογητή (192.168.A.254 στην περίπτωσή μας), γιατί άλλες, πιο συγκεκριμένες διαδρομές για BBB1, δεν έχει, επομένως, πρέπει να μεταδώσει το πακέτο μέσω της προεπιλεγμένης διαδρομής (0.0.0.0/0).

17) ακριβώς το ίδιο όπως σε προηγούμενες περιπτώσεις, ένα σύστημα που εκτελείται σε διακομιστή με τη διεύθυνση 192.168.A.1, βρίσκει τη διεύθυνση MAC 192.168.A.254, αφού βρίσκεται στο ίδιο δίκτυο με τη διεπαφή του 192.168.Α.1/24;

18) ο εικονικός δρομολογητής λαμβάνει αυτό το πακέτο. Να σημειωθεί ότι θυμάται τι παρέλαβε AAA2:13389 πακέτο από BBB1: 44444 και άλλαξε τη διεύθυνση και τη θύρα του παραλήπτη σε 192.168.A.1:3389, λοιπόν, το πακέτο από 192.168.A.1:3389 για BBB1: 44444 αλλάζει τη διεύθυνση αποστολέα σε AAA2:13389;

19) ο εικονικός δρομολογητής αποφασίζει σε ποιον θα στείλει αυτό το πακέτο, το στέλνει ΑΑΑ254 (Πύλη ISP, σε αυτήν την περίπτωση, είμαστε και εμείς), γιατί υπάρχουν πιο συγκεκριμένες διαδρομές προς BBB1, από 0.0.0.0/0, δεν έχει?

20) Οι πάροχοι Διαδικτύου μεταδίδουν ένα πακέτο με ΑΑΑ2 επί BBB1;

21) ενεργοποιημένος δρομολογητής BBB1 λαμβάνει αυτό το πακέτο και θυμάται ότι όταν έστειλε το πακέτο από 192.168.B.1:55555 για AAA2:13389, άλλαξε τη διεύθυνση και τη θύρα αποστολέα σε BBB1: 44444, τότε αυτή είναι η απάντηση στην οποία πρέπει να σταλεί 192.168.B.1:55555 (στην πραγματικότητα, υπάρχουν αρκετοί ακόμη έλεγχοι εκεί, αλλά δεν εμβαθύνουμε σε αυτό).

22) καταλαβαίνει ότι πρέπει να μεταδοθεί απευθείας σε 192.168.B.1, αφού βρίσκεται στο ίδιο δίκτυο με αυτόν, επομένως, έχει αντίστοιχη καταχώρηση στον πίνακα δρομολόγησης, η οποία τον αναγκάζει να στείλει πακέτα για ολόκληρο το 192.168.Β.0/24 κατευθείαν;

23) ο δρομολογητής βρίσκει τη διεύθυνση MAC για 192.168.B.1 και του δίνει αυτό το πακέτο.

24) λειτουργικό σύστημα σε υπολογιστή με τη διεύθυνση 192.168.B.1 λαμβάνει ένα πακέτο από AAA2:13389 για 192.168.B.1:55555 και ξεκινά τα επόμενα βήματα για τη δημιουργία μιας σύνδεσης TCP.

Σημειωτέον ότι στην περίπτωση αυτή ο υπολογιστής με τη διεύθυνση 192.168.B.1 δεν γνωρίζει τίποτα για τον διακομιστή με τη διεύθυνση 192.168.A.1, επικοινωνεί μόνο με ΑΑΑ2. Ομοίως, ο διακομιστής με τη διεύθυνση 192.168.A.1 δεν γνωρίζει τίποτα για τον υπολογιστή με τη διεύθυνση 192.168.B.1. Πιστεύει ότι συνδέθηκε από τη διεύθυνση BBB1, και δεν ξέρει τίποτα άλλο, ας πούμε.

Θα πρέπει επίσης να σημειωθεί ότι εάν αυτός ο υπολογιστής έχει πρόσβαση AAA2:1540, η σύνδεση δεν θα δημιουργηθεί επειδή η προώθηση σύνδεσης στη θύρα 1540 δεν έχει ρυθμιστεί στον εικονικό δρομολογητή, ακόμη και αν σε οποιονδήποτε διακομιστή στο εικονικό δίκτυο 192.168.Α.0/24 (για παράδειγμα, σε διακομιστή με τη διεύθυνση 192.168.A.1) και υπάρχουν ορισμένες υπηρεσίες που περιμένουν συνδέσεις σε αυτήν τη θύρα. Εάν ένας χρήστης υπολογιστή με διεύθυνση 192.168.B.1 Είναι επιτακτική ανάγκη να δημιουργήσετε μια σύνδεση με αυτήν την υπηρεσία, πρέπει να χρησιμοποιεί VPN, δηλ. επικοινωνήστε απευθείας 192.168.A.1:1540.

Θα πρέπει να τονιστεί ότι κάθε προσπάθεια δημιουργίας σύνδεσης με ΑΑΑ1 (εκτός από τη σύνδεση IPSec από το BBB1 δεν θα έχει επιτυχία. Οποιεσδήποτε προσπάθειες δημιουργίας συνδέσεων με ΑΑΑ2, εκτός από τις συνδέσεις στη θύρα 13389, δεν θα είναι επίσης επιτυχείς.
Σημειώνουμε επίσης ότι εάν να ΑΑΑ2 Εάν κάποιος άλλος κάνει αίτηση (για παράδειγμα, CCCC), όλα όσα αναφέρονται στις παραγράφους 10-20 θα ισχύουν και για αυτόν. Τι συμβαίνει πριν και μετά από αυτό εξαρτάται από το τι ακριβώς βρίσκεται πίσω από αυτό το CCCC Δεν έχουμε τέτοιες πληροφορίες, επομένως σας συμβουλεύουμε να συμβουλευτείτε τους διαχειριστές του κόμβου με τη διεύθυνση CCCC

Θέση τρία

Και, αντίστροφα, αν με 192.168.A.1 κάτι αποστέλλεται σε κάποια θύρα που έχει ρυθμιστεί για προώθηση προς τα μέσα στο BBB1 (για παράδειγμα, 11111), επίσης δεν καταλήγει στο VPN, αλλά απλώς ρέει από ΑΑΑ1 και μπαίνει μέσα BBB1, και το μεταδίδει ήδη κάπου, ας πούμε, 192.168.B.2:3389. Βλέπει αυτό το πακέτο όχι από 192.168.A.1, αλλά ΑΑΑ1. Και πότε 192.168.B.2 απαντά, το πακέτο προέρχεται από BBB1 επί AAA1, και αργότερα φτάνει στον εκκινητή σύνδεσης - 192.168.A.1.

Συγκεκριμένο παράδειγμα:

1) 192.168.A.1 απευθύνει έκκληση σε BBB1, θέλει να δημιουργήσει μια σύνδεση TCP με BBB1: 11111;

2) 192.168.A.1 στέλνει ένα αίτημα σύνδεσης από 192.168.A.1:55555 (αυτός ο αριθμός, όπως στο προηγούμενο παράδειγμα, μπορεί να είναι διαφορετικός) στο BBB1: 11111;

3) ένα λειτουργικό σύστημα που εκτελείται σε διακομιστή με τη διεύθυνση 192.168.A.1, αποφασίζει να προωθήσει αυτό το πακέτο στη διεύθυνση πύλης του δρομολογητή (192.168.A.254 στην περίπτωσή μας), γιατί άλλες, πιο συγκεκριμένες διαδρομές για BBB1, δεν έχει, επομένως, μεταδίδει το πακέτο μέσω της προεπιλεγμένης διαδρομής (0.0.0.0/0).

4) για αυτό, όπως αναφέραμε σε προηγούμενα παραδείγματα, προσπαθεί να βρει τη διεύθυνση MAC για τη διεύθυνση IP 192.168.A.254 στον πίνακα προσωρινής μνήμης πρωτοκόλλου ARP. Εάν δεν εντοπιστεί, αποστέλλεται από τη διεύθυνση 192.168.A.1 μετάδοση ποιος έχει αίτημα στο δίκτυο 192.168.Α.0/24. Πότε 192.168.A.254 Σε απάντηση, της στέλνει τη διεύθυνση MAC του, το σύστημα μεταδίδει ένα πακέτο Ethernet για αυτό και εισάγει αυτές τις πληροφορίες στον πίνακα της κρυφής μνήμης.

5) ο εικονικός δρομολογητής λαμβάνει αυτό το πακέτο και αποφασίζει πού θα το προωθήσει: έχει μια γραπτή πολιτική σύμφωνα με την οποία πρέπει να προωθήσει (αντικαθιστά τη διεύθυνση επιστροφής) όλα τα πακέτα από 192.168.Α.0/24 σε άλλους κόμβους Διαδικτύου·

6) καθώς αυτή η πολιτική προϋποθέτει ότι η διεύθυνση επιστροφής πρέπει να ταιριάζει με τη χαμηλή διεύθυνση στη διεπαφή μέσω της οποίας θα μεταδοθεί αυτό το πακέτο, ο εικονικός δρομολογητής αποφασίζει πρώτα σε ποιον ακριβώς θα στείλει αυτό το πακέτο και, όπως στο προηγούμενο παράδειγμα, πρέπει να στείλει είναι επάνω ΑΑΑ254 (Πύλη ISP, σε αυτήν την περίπτωση, είμαστε και εμείς), γιατί υπάρχουν πιο συγκεκριμένες διαδρομές προς BBB1, από 0.0.0.0/0, δεν έχει?

7) αυτό σημαίνει ότι ο εικονικός δρομολογητής αντικαθιστά τη διεύθυνση επιστροφής του πακέτου, από εδώ και πέρα ​​είναι ένα πακέτο από AAA1:44444 (ο αριθμός θύρας, φυσικά, μπορεί να είναι διαφορετικός) σε BBB1: 11111;

8) ο εικονικός δρομολογητής θυμάται τι έκανε, επομένως, πότε από BBB1: 11111 για AAA1:44444 φτάνει η απάντηση, θα ξέρει ότι πρέπει να αλλάξει τη διεύθυνση προορισμού και τη θύρα σε 192.168.A.1:55555.

9) τώρα ο εικονικός δρομολογητής θα πρέπει να το περάσει στο δίκτυο ISP μέσω ΑΑΑ254, έτσι όπως ήδη αναφέραμε, βρίσκει τη διεύθυνση MAC για ΑΑΑ254 και μεταδίδει το πακέτο στην πύλη ISP.

10) Οι πάροχοι Διαδικτύου μεταδίδουν πακέτα από AAA1 σε BBB1;

11) ενεργοποιημένος δρομολογητής BBB1 λαμβάνει αυτό το πακέτο στη θύρα 11111.

12) υπάρχει ένας κανόνας στον εικονικό δρομολογητή που ορίζει ότι τα πακέτα που έφτασαν από οποιονδήποτε αποστολέα σε αυτήν τη θύρα πρέπει να μεταδίδονται σε 192.168.B.2:3389;

13) ο δρομολογητής βρίσκει το δίκτυο στον πίνακα δρομολόγησης 192.168.Β.0/24 και το στέλνει απευθείας στο 192.168.B.2, γιατί έχει διεπαφή 192.168.Β.254/24;

14) για αυτό, ο εικονικός δρομολογητής βρίσκει τη διεύθυνση MAC για 192.168.B.2 και του μεταδίδει αυτό το πακέτο μέσω ενός εικονικού δικτύου Ethernet.

15) 192.168.B.2 λαμβάνει αυτό το πακέτο στη θύρα 3389, συμφωνεί να δημιουργήσει μια σύνδεση και δημιουργεί ένα πακέτο ως απόκριση από 192.168.B.2:3389 επί AAA1:44444;

16) το σύστημά του μεταδίδει αυτό το πακέτο στη διεύθυνση πύλης του δρομολογητή (192.168.B.254 στην περίπτωσή μας), γιατί άλλες, πιο συγκεκριμένες διαδρομές για ΑΑΑ1, δεν έχει, επομένως, πρέπει να μεταδώσει το πακέτο μέσω της προεπιλεγμένης διαδρομής (0.0.0.0/0).

17) με τον ίδιο τρόπο όπως σε προηγούμενες περιπτώσεις, ένα σύστημα που εκτελείται σε υπολογιστή με τη διεύθυνση 192.168.B.2, βρίσκει τη διεύθυνση MAC 192.168.B.254, αφού βρίσκεται στο ίδιο δίκτυο με τη διεπαφή του 192.168.Β.2/24;

18) ο δρομολογητής λαμβάνει αυτό το πακέτο. Να σημειωθεί ότι θυμάται τι παρέλαβε BBB1: 11111 πακέτο από ΑΑΑ1 και άλλαξε τη διεύθυνση και τη θύρα του παραλήπτη σε 192.168.B.2:3389, λοιπόν, το πακέτο από 192.168.B.2:3389 για AAA1:44444 αλλάζει τη διεύθυνση αποστολέα σε BBB1: 11111;

19) ο δρομολογητής αποφασίζει σε ποιον θα στείλει αυτό το πακέτο. Το στέλνει, ας πούμε, BBB254 (Πύλη ISP, της οποίας δεν γνωρίζουμε την ακριβή διεύθυνση), γιατί δεν υπάρχουν πιο συγκεκριμένες διαδρομές προς ΑΑΑ1, από 0.0.0.0/0, δεν έχει?

20) Οι πάροχοι Διαδικτύου μεταδίδουν ένα πακέτο με BBB1 επί ΑΑΑ1;

21) ενεργοποιημένος εικονικός δρομολογητής ΑΑΑ1 λαμβάνει αυτό το πακέτο και θυμάται ότι όταν έστειλε το πακέτο από 192.168.A.1:55555 για BBB1: 11111, άλλαξε τη διεύθυνση και τη θύρα αποστολέα σε AAA1:44444. Αυτό σημαίνει ότι αυτή είναι η απάντηση στην οποία πρέπει να σταλεί 192.168.A.1:55555 (μάλιστα, όπως αναφέραμε στο προηγούμενο παράδειγμα, υπάρχουν και αρκετοί ακόμα έλεγχοι, αλλά αυτή τη φορά δεν εμβαθύνουμε σε αυτούς).

22) καταλαβαίνει ότι πρέπει να μεταδοθεί απευθείας σε 192.168.A.1, αφού είναι στο ίδιο δίκτυο με αυτόν, σημαίνει ότι έχει αντίστοιχη καταχώρηση στον πίνακα δρομολόγησης που τον αναγκάζει να στείλει πακέτα σε ολόκληρο 192.168.Α.0/24 κατευθείαν;

23) ο δρομολογητής βρίσκει τη διεύθυνση MAC για 192.168.A.1 και του δίνει αυτό το πακέτο.

24) λειτουργικό σύστημα στον διακομιστή με τη διεύθυνση 192.168.A.1 λαμβάνει ένα πακέτο από BBB1: 11111 για 192.168.A.1:55555 και ξεκινά τα επόμενα βήματα για τη δημιουργία μιας σύνδεσης TCP.

Ακριβώς το ίδιο όπως και στην προηγούμενη περίπτωση, σε αυτήν την περίπτωση ο διακομιστής με τη διεύθυνση 192.168.A.1 δεν γνωρίζει τίποτα για τον υπολογιστή με τη διεύθυνση 192.168.B.1, επικοινωνεί μόνο με BBB1. Υπολογιστής με διεύθυνση 192.168.B.1 επίσης δεν γνωρίζει τίποτα για τον διακομιστή με τη διεύθυνση 192.168.A.1. Πιστεύει ότι συνδέθηκε από τη διεύθυνση ΑΑΑ1, και τα υπόλοιπα είναι κρυμμένα από αυτόν.

Παραγωγή

Έτσι συμβαίνουν τα πάντα για συνδέσεις εντός της σήραγγας VPN μεταξύ του γραφείου του πελάτη και του περιβάλλοντος cloud, καθώς και για συνδέσεις εκτός του τούνελ VPN. Και αν έχετε οποιεσδήποτε ερωτήσεις ή χρειάζεστε τη βοήθειά μας για την επίλυση προβλημάτων cloud, επικοινωνήστε μαζί μας 24x7.

Πηγή: www.habr.com

Προσθέστε ένα σχόλιο