Tõelised artiklid sünnivad kirjadest Tucha tehnilisele toele. Näiteks pöördus hiljuti meie poole üks klient sooviga selgitada, mis toimub kasutaja kontori ja pilvekeskkonna vahel VPN-tunnelis sees olevate ühenduste loomisel, aga ka VPN-tunnelist väljaspool asuvate ühenduste ajal. Seetõttu on kogu allolev tekst tegelik kiri, mille saatsime ühele oma kliendile vastuseks tema küsimusele. Loomulikult muudeti IP-aadresse, et mitte muuta klienti anonüümseks. Kuid jah, Tucha tehniline tugi on tõesti kuulus oma üksikasjalike vastuste ja informatiivsete meilide poolest. 🙂
Muidugi mõistame, et paljude jaoks ei ole see artikkel ilmutus. Aga kuna Habris ilmub aeg-ajalt artikleid algajatele administraatoritele ja ka kuna see artikkel ilmus päriskirjast päris kliendile, siis jagame seda infot ka siin. Suure tõenäosusega on see kellelegi kasulik.
Seetõttu selgitame üksikasjalikult, mis juhtub pilves oleva serveri ja kontori vahel, kui need on ühendatud saidivahelise võrgu kaudu. Pange tähele, et mõnele teenusele pääsete juurde ainult kontorist ja mõnele kõikjalt Internetist.
Selgitagem kohe, mida meie klient serveris soovis 192.168.A.1 võite tulla kõikjalt RDP kaudu, ühendades sellega AAA2: 13389ja juurdepääs muudele teenustele ainult kontorist (192.168.B.0/24)ühendatud VPN-i kaudu. Samuti lasi klient algselt seadistada, et auto 192.168.B.2 kontoris oli võimalik ka RDP-d kasutada kõikjalt, ühendudes BBB1: 11111. Aitasime korraldada IPSec-ühendusi pilve ja kontori vahel ning kliendi IT-spetsialist hakkas küsima, mis sel või teisel juhul juhtuma hakkab. Kõigile neile küsimustele vastamiseks kirjutasime talle tegelikult kõik, mida saate allpool lugeda.
Vaatame nüüd neid protsesse üksikasjalikumalt.
Positsioon üks
Kui midagi saadetakse 192.168.B.0/24 в 192.168.A.0/24 või pärit 192.168.A.0/24 в 192.168.B.0/24, satub see VPN-i. See tähendab, et see pakett krüpteeritakse ja edastatakse nende vahel BBB1 и AAA1Kuid 192.168.A.1 näeb pakki täpselt alates 192.168.B.1. Nad saavad üksteisega suhelda mis tahes protokolli kasutades. Tagastusvastused edastatakse samal viisil VPN-i kaudu, mis tähendab, et pakett alates 192.168.A.1 eest 192.168.B.1 saadetakse ESP datagrammina alates AAA1 edasi BBB1, mille ruuter sellel küljel lahti voldib, võtab sellest paketi välja ja saadab selle 192.168.B.1 pakina alates 192.168.A.1.
Konkreetne näide:
1) 192.168.B.1 apelleerib 192.168.A.1, soovib luua TCP-ühenduse rakendusega 192.168.A.1:3389;
2) 192.168.B.1 saadab ühendustaotluse aadressilt 192.168.B.1:55555 (ta valib ise tagasiside andmiseks pordi numbri; edaspidi kasutame pordi numbri näitena numbrit 55555, mille süsteem valib TCP ühenduse moodustamisel) 192.168.A.1:3389;
3) aadressiga arvutis töötav operatsioonisüsteem 192.168.B.1, otsustab selle paketi edasi saata ruuteri lüüsi aadressile (192.168.B.254 meie puhul), sest muud, täpsemad marsruudid 192.168.A.1, sellel puudub, seetõttu edastab ta paketi vaikemarsruudi kaudu (0.0.0.0/0);
4) selleks proovib ta leida IP-aadressi MAC-aadressi 192.168.B.254 ARP-protokolli vahemälu tabelis. Kui seda ei tuvastata, saadab aadressilt 192.168.B.1 edastada võrku kellel on päring 192.168.B.0/24. Millal 192.168.B.254 vastuseks saadab see sellele oma MAC-aadressi, süsteem saadab selle jaoks Etherneti paketi ja sisestab selle teabe oma vahemälu tabelisse;
5) ruuter võtab selle paketi vastu ja otsustab, kuhu see edastada: tal on kirjalik poliitika, mille kohaselt peab ta saatma kõik paketid vahemikus 192.168.B.0/24 и 192.168.A.0/24 vahel üle VPN-ühenduse BBB1 и AAA1;
6) ruuter genereerib ESP datagrammi BBB1 edasi AAA1;
7) ruuter otsustab, kellele see pakett saata, ta saadab selle näiteks BBB254 (ISP lüüs), kuna sinna on täpsemad marsruudid AAA1, kui 0.0.0.0/0, sellel puudub;
8) täpselt sama, mis juba öeldud, leiab MAC-aadressi BBB254 ja saadab paketi ISP lüüsile;
9) Interneti-teenuse pakkujad edastavad ESP-datagrammi BBB1 edasi AAA1;
10) virtuaalne ruuter sisse lülitatud AAA1 võtab selle datagrammi vastu, dekrüpteerib selle ja võtab vastu paketi 192.168.B.1:55555 eest 192.168.A.1:3389;
11) virtuaalne ruuter kontrollib, kellele see edastada, leiab marsruutimise tabelist võrgu 192.168.A.0/24 ja saadab selle otse aadressile 192.168.A.1, kuna sellel on liides 192.168.A.254/24;
12) selleks leiab virtuaalne ruuter MAC-aadressi 192.168.A.1 ja edastab selle paketi talle virtuaalse Etherneti võrgu kaudu;
13) 192.168.A.1 võtab selle paketi vastu pordi 3389 kaudu, nõustub ühenduse loomisega ja genereerib vastuseks paketi 192.168.A.1:3389 edasi 192.168.B.1:55555;
14) tema süsteem edastab selle paketi virtuaalse ruuteri lüüsi aadressile (192.168.A.254 meie puhul), sest muud, täpsemad marsruudid 192.168.B.1, sellel puudub, seetõttu peab ta paketi edastama vaikemarsruudi kaudu (0.0.0.0/0);
15) sama mis eelmistel juhtudel, aadressiga serveris töötav süsteem 192.168.A.1, leiab MAC-aadressi 192.168.A.254, kuna see on liidesega samas võrgus 192.168.A.1/24;
16) virtuaalne ruuter võtab selle paketi vastu ja otsustab, kuhu see edastada: tal on kirjalik poliitika, mille kohaselt peab ta saatma kõik paketid vahemikus 192.168.A.0/24 и 192.168.B.0/24 vahel üle VPN-ühenduse AAA1 и BBB1;
17) virtuaalne ruuter genereerib ESP datagrammi AAA1 eest BBB1;
18) virtuaalne ruuter otsustab, kellele see pakett saata, saadab selle AAA254 (Interneti-teenuse pakkuja lüüs, antud juhul oleme ka meie), sest sinna on täpsemad marsruudid BBB1, kui 0.0.0.0/0, sellel puudub;
19) Interneti-teenuse pakkujad edastavad ESP-datagrammi oma võrkude kaudu AAA1 edasi BBB1;
20) ruuter sisse lülitatud BBB1 võtab selle datagrammi vastu, dekrüpteerib selle ja võtab vastu paketi 192.168.A.1:3389 eest 192.168.B.1:55555;
21) ta saab aru, et see tuleks konkreetselt üle kanda 192.168.B.1, kuna ta on temaga samas võrgus, on tal marsruutimistabelis vastav kirje, mis sunnib teda saatma pakette kogu 192.168.B.0/24 otse;
22) ruuter leiab MAC-aadressi 192.168.B.1 ja ulatab talle selle paki;
23) aadressiga arvutis operatsioonisüsteem 192.168.B.1 saab paki kätte 192.168.A.1:3389 eest 192.168.B.1:55555 ja alustab järgmisi samme TCP-ühenduse loomiseks.
See näide kirjeldab üsna lühidalt ja lihtsustatult (ja siin võib meelde jätta hunniku muid üksikasju) seda, mis toimub tasemel 2-4. Taset 1, 5-7 ei arvestata.
Asend kaks
Kui koos 192.168.B.0/24 midagi saadetakse spetsiaalselt AAA2, see ei lähe VPN-i, vaid otse. See tähendab, et kui kasutaja aadressilt 192.168.B.1 apelleerib AAA2: 13389, see pakett pärineb aadressilt BBB1, läheb edasi AAA2ja seejärel võtab ruuter selle vastu ja edastab selle aadressile 192.168.A.1. 192.168.A.1 ei tea sellest midagi 192.168.B.1, näeb ta pakki alates BBB1, sest ta sai ta kätte. Seetõttu läheb vastus sellele päringule mööda üldist marsruuti, see tuleb aadressilt samamoodi AAA2 ja läheb juurde BBB1ja ruuter saadab selle vastuse aadressile 192.168.B.1, näeb ta vastust AAA2, kellele ta pöördus.
Konkreetne näide:
1) 192.168.B.1 apelleerib AAA2, soovib luua TCP-ühenduse rakendusega AAA2: 13389;
2) 192.168.B.1 saadab ühendustaotluse aadressilt 192.168.B.1:55555 (see number, nagu ka eelmises näites, võib olla erinev) sisse AAA2: 13389;
3) aadressiga arvutis töötav operatsioonisüsteem 192.168.B.1, otsustab selle paketi edasi saata ruuteri lüüsi aadressile (192.168.B.254 meie puhul), sest muud, täpsemad marsruudid AAA2, sellel seda pole, mis tähendab, et see edastab paketi vaikemarsruudi kaudu (0.0.0.0/0);
4) selleks, nagu me eelmises näites mainisime, proovib see leida IP-aadressi MAC-aadressi 192.168.B.254 ARP-protokolli vahemälu tabelis. Kui seda ei tuvastata, saadab aadressilt 192.168.B.1 edastada võrku kellel on päring 192.168.B.0/24. Millal 192.168.B.254 vastuseks saadab see sellele oma MAC-aadressi, süsteem saadab selle jaoks Etherneti paketi ja sisestab selle teabe oma vahemälu tabelisse;
5) ruuter võtab selle paketi vastu ja otsustab, kuhu see edastada: tal on kirjalik poliitika, mille kohaselt peab ta edastama (asendades tagastusaadressi) kõik paketid 192.168.B.0/24 teistele Interneti-sõlmedele;
6) kuna see poliitika eeldab, et tagastusaadress peab ühtima liidese madala aadressiga, mille kaudu see pakett edastatakse, otsustab ruuter kõigepealt, kellele see pakett täpselt saata, ja ta peab selle saatma, nagu eelmises näites. juurde BBB254 (ISP lüüs), kuna sinna on täpsemad marsruudid AAA2, kui 0.0.0.0/0, sellel puudub;
7) seetõttu asendab ruuter paketi tagastusaadressi, edaspidi on pakett pärit BBB1: 44444 (pordi number võib muidugi erineda). AAA2: 13389;
8) ruuter mäletab, mida ta tegi, mis tähendab, millal AAA2: 13389 к BBB1: 44444 vastus saabub, teab ta, et ta peaks sihtkoha aadressi ja pordi muutma 192.168.B.1:55555.
9) nüüd peaks ruuter selle kaudu ISP võrku edastama BBB254seega, nagu me juba mainisime, leiab see MAC-aadressi BBB254 ja saadab paketi ISP lüüsile;
10) Interneti-teenuse pakkujad edastavad pakette alates BBB1 edasi AAA2;
11) virtuaalne ruuter sisse lülitatud AAA2 võtab selle paketi vastu pordis 13389;
12) virtuaalsel ruuteril on reegel, mis näeb ette, et mis tahes selle pordi saatjalt saabunud paketid tuleb edastada 192.168.A.1:3389;
13) virtuaalne ruuter leiab võrgu marsruutimistabelist 192.168.A.0/24 ja saadab selle otse 192.168.A.1, kuna sellel on liides 192.168.A.254/24;
14) selleks leiab virtuaalne ruuter MAC-aadressi 192.168.A.1 ja edastab selle paketi talle virtuaalse Etherneti võrgu kaudu;
15) 192.168.A.1 võtab selle paketi vastu pordi 3389 kaudu, nõustub ühenduse loomisega ja genereerib vastuseks paketi 192.168.A.1:3389 edasi BBB1: 44444;
16) tema süsteem edastab selle paketi virtuaalse ruuteri lüüsi aadressile (192.168.A.254 meie puhul), sest muud, täpsemad marsruudid BBB1, sellel puudub, seetõttu peab ta paketi edastama vaikemarsruudi kaudu (0.0.0.0/0);
17) täpselt sama, mis eelmistel juhtudel, süsteem, mis töötab aadressiga serveris 192.168.A.1, leiab MAC-aadressi 192.168.A.254, kuna see on liidesega samas võrgus 192.168.A.1/24;
18) virtuaalne ruuter võtab selle paketi vastu. Tuleb märkida, et ta mäletab, mida ta sai AAA2: 13389 pakett alates BBB1: 44444 ja muutis oma adressaadi aadressi ja pordi uueks 192.168.A.1:3389, seega pakett alates 192.168.A.1:3389 eest BBB1: 44444 see muudab saatja aadressi AAA2: 13389;
19) virtuaalne ruuter otsustab, kellele see pakett saata, ta saadab selle AAA254 (Interneti-teenuse pakkuja lüüs, antud juhul oleme ka meie), sest sinna on täpsemad marsruudid BBB1, kui 0.0.0.0/0, sellel puudub;
20) Interneti-teenuse pakkujad edastavad paketti AAA2 edasi BBB1;
21) ruuter sisse lülitatud BBB1 saab selle paki vastu ja mäletab seda siis, kui ta paki saatis 192.168.B.1:55555 eest AAA2: 13389, muutis ta oma aadressi ja saatja pordi BBB1: 44444, siis tuleb see vastus saata 192.168.B.1:55555 (tegelikult on seal veel mitu kontrolli, kuid me ei süvene sellesse);
22) ta mõistab, et see tuleks edastada otse 192.168.B.1, kuna ta on temaga samas võrgus, on tal marsruutimistabelis vastav kirje, mis sunnib teda saatma pakette kogu 192.168.B.0/24 otse;
23) ruuter leiab MAC-aadressi 192.168.B.1 ja ulatab talle selle paki;
24) aadressiga arvutis operatsioonisüsteem 192.168.B.1 saab paki kätte AAA2: 13389 eest 192.168.B.1:55555 ja alustab järgmisi samme TCP-ühenduse loomiseks.
Tuleb märkida, et antud juhul arvuti koos aadressiga 192.168.B.1 ei tea aadressiga serverist midagi 192.168.A.1, ta ainult suhtleb AAA2. Samamoodi aadressiga server 192.168.A.1 ei tea aadressiga arvutist midagi 192.168.B.1. Ta usub, et teda ühendati aadressilt BBB1, ja ta ei tea nii-öelda midagi muud.
Samuti tuleb märkida, et kui see arvuti pääseb juurde AAA2: 1540, ühendust ei looda, kuna ühenduse edastamine porti 1540 ei ole virtuaalses ruuteris konfigureeritud, isegi kui virtuaalse võrgu mis tahes serveris 192.168.A.0/24 (näiteks aadressiga serveris 192.168.A.1) ja mõned teenused ootavad selles pordis ühendusi. Kui arvutikasutaja, kellel on aadress 192.168.B.1 Selle teenusega on hädavajalik luua ühendus, see peab kasutama VPN-i, st. otse ühendust võtta 192.168.A.1:1540.
Tuleb rõhutada, et igasugune katse luua sidet AAA1 (välja arvatud IPSec-ühendus alates BBB1 ei õnnestu. Kõik katsed luua ühendusi AAA2, välja arvatud ühendused pordiga 13389, ei õnnestu samuti.
Samuti märgime, et kui AAA2 Kui taotleb keegi teine (näiteks CCCC), kehtib ka tema kohta kõik punktides 10–20 märgitud. Mis juhtub enne ja pärast seda, sõltub sellest, mis täpselt selle CCCC taga on. Meil pole sellist teavet, seega soovitame teil konsulteerida CCCC aadressiga sõlme administraatoritega.
Kolmas positsioon
Ja vastupidi, kui koos 192.168.A.1 midagi saadetakse mõnda porti, mis on konfigureeritud BBB1-le sissepoole edastama (näiteks 11111), samuti ei satu see VPN-i, vaid lihtsalt voolab AAA1 ja satub sisse BBB1, ja ta edastab selle juba kuskil, näiteks 192.168.B.2:3389. Ta näeb seda paketti mitte 192.168.A.1, aga AAA1. Ja millal 192.168.B.2 vastab, pakk on pärit BBB1 edasi AAA1, ja jõuab hiljem ühenduse algatajani - 192.168.A.1.
Konkreetne näide:
1) 192.168.A.1 apelleerib BBB1, soovib luua TCP-ühenduse rakendusega BBB1: 11111;
2) 192.168.A.1 saadab ühendustaotluse aadressilt 192.168.A.1:55555 (see number, nagu ka eelmises näites, võib olla erinev) sisse BBB1: 11111;
3) aadressiga serveris töötav operatsioonisüsteem 192.168.A.1, otsustab selle paketi edasi saata ruuteri lüüsi aadressile (192.168.A.254 meie puhul), sest muud, täpsemad marsruudid BBB1, sellel puudub, seetõttu edastab ta paketi vaikemarsruudi kaudu (0.0.0.0/0);
4) selleks, nagu eelmistes näidetes mainisime, püüab ta leida IP-aadressi MAC-aadressi 192.168.A.254 ARP-protokolli vahemälu tabelis. Kui seda ei tuvastata, saadab aadressilt 192.168.A.1 edastada võrku kellel on päring 192.168.A.0/24. Millal 192.168.A.254 vastuseks saadab ta talle oma MAC-aadressi, süsteem saadab selle jaoks Etherneti paketi ja sisestab selle teabe oma vahemälu tabelisse;
5) virtuaalne ruuter võtab selle paketi vastu ja otsustab, kuhu see edastada: tal on kirjalik poliitika, mille kohaselt peab ta edastama (asendades tagastusaadressi) kõik paketid 192.168.A.0/24 teistele Interneti-sõlmedele;
6) kuna see reegel eeldab, et tagastusaadress peab ühtima liidese madala aadressiga, mille kaudu see pakett edastatakse, otsustab virtuaalne ruuter esmalt, kellele see pakett täpselt saata, ja ta peab saatma, nagu eelmises näites. see sisse AAA254 (Interneti-teenuse pakkuja lüüs, antud juhul oleme ka meie), sest sinna on täpsemad marsruudid BBB1, kui 0.0.0.0/0, sellel puudub;
7) see tähendab, et virtuaalne ruuter asendab paketi tagastusaadressi, edaspidi on see pakett AAA1: 44444 (pordi number võib muidugi erineda). BBB1: 11111;
8) virtuaalne ruuter mäletab, mida ta tegi, seega millal BBB1: 11111 eest AAA1: 44444 vastus saabub, teab ta, et ta peaks sihtkoha aadressi ja pordi muutma 192.168.A.1:55555.
9) nüüd peaks virtuaalne ruuter selle kaudu ISP võrku edastama AAA254, nii nagu me juba mainisime, leiab see MAC-aadressi AAA254 ja saadab paketi ISP lüüsile;
10) Interneti-teenuse pakkujad edastavad pakette alates AAA1 kuni BBB1;
11) ruuter sisse lülitatud BBB1 võtab selle paketi vastu pordis 11111;
12) virtuaalsel ruuteril on reegel, mis näeb ette, et mis tahes selle pordi saatjalt saabunud paketid tuleb edastada 192.168.B.2:3389;
13) ruuter leiab võrgu marsruutimistabelist 192.168.B.0/24 ja saadab selle otse aadressile 192.168.B.2, kuna sellel on liides 192.168.B.254/24;
14) selleks leiab virtuaalne ruuter MAC-aadressi 192.168.B.2 ja edastab selle paketi talle virtuaalse Etherneti võrgu kaudu;
15) 192.168.B.2 võtab selle paketi vastu pordi 3389 kaudu, nõustub ühenduse loomisega ja genereerib vastuseks paketi 192.168.B.2:3389 edasi AAA1: 44444;
16) tema süsteem saadab selle paketi ruuteri lüüsi aadressile (192.168.B.254 meie puhul), sest muud, täpsemad marsruudid AAA1, sellel puudub, seetõttu peab ta paketi edastama vaikemarsruudi kaudu (0.0.0.0/0);
17) samamoodi nagu varasematel juhtudel aadressiga arvutis töötav süsteem 192.168.B.2, leiab MAC-aadressi 192.168.B.254, kuna see on liidesega samas võrgus 192.168.B.2/24;
18) ruuter võtab selle paketi vastu. Tuleb märkida, et ta mäletab, mida ta sai BBB1: 11111 pakett alates AAA1 ja muutis oma adressaadi aadressi ja pordi uueks 192.168.B.2:3389, seega pakett alates 192.168.B.2:3389 eest AAA1: 44444 see muudab saatja aadressi BBB1: 11111;
19) ruuter otsustab, kellele see pakett saata. Ta saadab selle näiteks BBB254 (ISP lüüs, mille täpset aadressi me ei tea), sest täpsemaid marsruute sinna pole AAA1, kui 0.0.0.0/0, sellel puudub;
20) Interneti-teenuse pakkujad edastavad paketti BBB1 edasi AAA1;
21) virtuaalne ruuter sisse lülitatud AAA1 saab selle paki vastu ja mäletab seda siis, kui ta paki saatis 192.168.A.1:55555 eest BBB1: 11111, muutis ta oma aadressi ja saatja pordi AAA1: 44444. See tähendab, et see on vastus, millele tuleb saata 192.168.A.1:55555 (tegelikult, nagu eelmises näites mainisime, on ka veel mitu kontrolli, kuid seekord me nendega ei süvene);
22) ta mõistab, et see tuleks edastada otse 192.168.A.1, kuna ta on temaga samas võrgus, tähendab see, et tal on marsruutimistabelis vastav kirje, mis sunnib teda saatma pakette kogu 192.168.A.0/24 otse;
23) ruuter leiab MAC-aadressi 192.168.A.1 ja ulatab talle selle paki;
24) operatsioonisüsteem serveris koos aadressiga 192.168.A.1 saab paki kätte BBB1: 11111 eest 192.168.A.1:55555 ja alustab järgmisi samme TCP-ühenduse loomiseks.
Täpselt sama, mis eelmisel juhul, antud juhul server koos aadressiga 192.168.A.1 ei tea aadressiga arvutist midagi 192.168.B.1, ta ainult suhtleb BBB1. Arvuti aadressiga 192.168.B.1 ei tea ka aadressiga serverist midagi 192.168.A.1. Ta usub, et teda ühendati aadressilt AAA1ja ülejäänu on tema eest varjatud.
Väljund
Nii juhtub kõik VPN-tunnelis olevate ühenduste puhul kliendi kontori ja pilvekeskkonna vahel, aga ka VPN-tunnelist väljaspool olevate ühenduste puhul. Ja kui teil on küsimusi või vajate meie abi pilveprobleemide lahendamisel,
Allikas: www.habr.com