Benetako artikuluak Tucha laguntza teknikoari egindako gutunetatik jaiotzen dira. Esaterako, duela gutxi bezero bat hurbildu zitzaigun eskaerarekin, erabiltzailearen bulegoaren eta hodei-ingurunearen arteko VPN tunelaren barruko konexioetan zer gertatzen den argitzeko, baita VPN tuneletik kanpoko konexioetan ere. Beraz, beheko testu osoa bere galderari erantzunez gure bezeroetako bati bidali genion benetako gutun bat da. Jakina, IP helbideak aldatu egin ziren, bezeroa anonimatu ez zedin. Baina, bai, Tuchako laguntza teknikoa oso ezaguna da bere erantzun zehatzengatik eta informazio-mezu elektronikoengatik. π
Jakina, ulertzen dugu askorentzat artikulu hau ez dela errebelazio bat izango. Baina, noizean behin Habr-en administratzaile hasiberrientzako artikuluak agertzen direnez eta, gainera, artikulu hau benetako bezero bati benetako gutun batetik agertu zenez, informazio hau hemen partekatuko dugu oraindik. Norbaitentzat erabilgarria izateko probabilitate handia dago.
Hori dela eta, hodeiko zerbitzariaren eta bulegoaren artean zer gertatzen den zehatz-mehatz azaltzen dugu, gunez gune sare baten bidez konektatzen badira. Kontuan izan zerbitzu batzuk bulegotik soilik eskura daitezkeela eta beste batzuk Interneteko edozein lekutatik eskura daitezkeela.
Azal dezagun berehala gure bezeroak zerbitzarian zer nahi zuen 192.168.A.1 edonondik etor zaitezke RDP bidez, konektatuz AAA2:13389, eta beste zerbitzu batzuetarako sarbidea bulegotik soilik (192.168.B.0/24)VPN bidez konektatuta. Gainera, bezeroak hasiera batean konfiguratu zuen autoa 192.168.B.2 bulegoan RDP edonondik ere erabiltzeko aukera zegoen, konektatuz BBB1:11111. Hodeiaren eta bulegoaren arteko IPSec konexioak antolatzen lagundu genuen, eta bezeroaren IT espezialista kasu honetan edo bestean gertatuko zenari buruzko galderak egiten hasi zen. Galdera horiei guztiei erantzuteko, behean irakur dezakezun guztia idatzi genion, hain zuzen ere.
Orain ikus ditzagun prozesu hauek xehetasun gehiagorekin.
Posizioa bat
Zerbaitetik bidaltzen denean 192.168.B.0/24 Π² 192.168.A.0/24 edo bertatik 192.168.A.0/24 Π² 192.168.B.0/24, VPNan sartzen da. Hau da, pakete hau gainera enkriptatu eta transmititzen da BBB1 ΠΈ AAA1Baina 192.168.A.1 paketea zehazki ikusten du 192.168.B.1. Edozein protokolo erabiliz elkarrekin komunika daitezke. Itzultzeko erantzunak modu berean transmititzen dira VPN bidez, hau da, paketea 192.168.A.1 egiteko 192.168.B.1 ESP datagrama gisa bidaliko da AAA1 on BBB1, bideratzaileak alde horretatik zabalduko duena, pakete hori atera eta bertara bidaliko du 192.168.B.1 pakete gisa 192.168.A.1.
Adibide zehatza:
1) 192.168.B.1 errekurtsoak 192.168.A.1, TCP konexio bat ezarri nahi du 192.168.A.1:3389;
2) 192.168.B.1 konexio eskaera bat bidaltzen du 192.168.B.1:55555 (berak aukeratzen du iritzia emateko ataka-zenbakia; aurrerantzean 55555 zenbakia erabiliko dugu sistemak TCP konexioa osatzerakoan aukeratzen duen ataka-zenbakiaren adibide gisa) on 192.168.A.1:3389;
3) helbidea duen ordenagailu batean exekutatzen den sistema eragilea 192.168.B.1, pakete hau bideratzailearen atebide helbidera birbidaltzea erabakitzen du (192.168.B.254 gure kasuan), beste ibilbide zehatzagoak direlako 192.168.A.1, ez du, beraz, lehenetsitako bidetik (0.0.0.0/0) igortzen du paketea;
4) horretarako IP helbidearen MAC helbidea aurkitzen saiatzen da 192.168.B.254 ARP protokoloaren cache taulan. Detektatzen ez bada, helbidetik bidaltzen du 192.168.B.1 igorri nork-duen eskaera sarera 192.168.B.0/24. denean 192.168.B.254 erantzunez, bere MAC helbidea bidaltzen dio, sistemak Ethernet pakete bat transmititzen dio eta informazio hori bere cache-taulan sartzen du;
5) bideratzaileak pakete hau jasotzen du eta non birbidali erabakitzen du: idatzizko politika du, zeinaren arabera pakete guztiak bidali behar dituen artean. 192.168.B.0/24 ΠΈ 192.168.A.0/24 transferitu VPN konexio baten bidez BBB1 ΠΈ AAA1;
6) bideratzaileak ESP datagrama sortzen du BBB1 on AAA1;
7) bideratzaileak erabakitzen du pakete hau nori bidali, hark bidaltzen du, esate baterako, BBB254 (ISP atea) bide zehatzagoak daudelako AAA1, 0.0.0.0/0 baino, ez du;
8) lehen esandakoaren berdina, MAC helbidea aurkitzen du BBB254 eta paketea ISP atebidera igortzen du;
9) Interneteko hornitzaileek ESP datagrama bat igortzen dute BBB1 on AAA1;
10) bideratzaile birtuala aktibatuta AAA1 datagrama hau jasotzen du, deszifratzen du eta pakete bat jasotzen du 192.168.B.1:55555 egiteko 192.168.A.1:3389;
11) bideratzaile birtualak nori pasatu behar dion egiaztatzen du, sarea bideratze-taulan aurkitzen du 192.168.A.0/24 eta zuzenean bidaltzen du 192.168.A.1, interfazea duelako 192.168.A.254/24;
12) horretarako, bideratzaile birtualak MAC helbidea aurkitzen du 192.168.A.1 eta pakete hori Ethernet sare birtual baten bidez transmititzen dio;
13) 192.168.A.1 pakete hau 3389 portuan jasotzen du, konexio bat ezartzea onartzen du eta pakete bat sortzen du. 192.168.A.1:3389 on 192.168.B.1:55555;
14) bere sistemak pakete hau bideratzaile birtualaren atebide-helbidera igortzen du (192.168.A.254 gure kasuan), beste ibilbide zehatzagoak direlako 192.168.B.1, ez du, beraz, lehenetsitako bidetik (0.0.0.0/0) bidali behar du paketea;
15) aurreko kasuetan bezala, helbidea duen zerbitzari batean exekutatzen den sistema 192.168.A.1, MAC helbidea aurkitzen du 192.168.A.254, bere interfazearekin sare berean baitago 192.168.A.1/24;
16) bideratzaile birtualak pakete hau jasotzen du eta non birbidali erabakitzen du: idatzizko politika du, zeinaren arabera pakete guztiak bidali behar dituen artean. 192.168.A.0/24 ΠΈ 192.168.B.0/24 transferitu VPN konexio baten bidez AAA1 ΠΈ BBB1;
17) bideratzaile birtualak ESP datagrama sortzen du AAA1 egiteko BBB1;
18) bideratzaile birtualak erabakitzen du pakete hau nori bidali, eta bidaltzen dio AAA254 (ISP atea, kasu honetan, hori ere gu gara), bide zehatzagoak daudelako BBB1, 0.0.0.0/0 baino, ez du;
19) Interneteko hornitzaileek ESP datagrama bat transmititzen dute beren sareetan AAA1 on BBB1;
20) bideratzailea piztuta BBB1 datagrama hau jasotzen du, deszifratzen du eta pakete bat jasotzen du 192.168.A.1:3389 egiteko 192.168.B.1:55555;
21) berariaz transferitu behar dela ulertzen du 192.168.B.1, berarekin sare berean dagoenez, beraz, bideratze-taulan dagokion sarrera du, eta horrek behartzen du osoko paketeak bidaltzera. 192.168.B.0/24 zuzenean;
22) bideratzaileak MAC helbidea aurkitzen du 192.168.B.1 eta pakete hau ematen dio;
23) helbidea duen ordenagailu batean sistema eragilea 192.168.B.1 pakete bat jasotzen du 192.168.A.1:3389 egiteko 192.168.B.1:55555 eta TCP konexio bat ezartzeko hurrengo urratsak hasten ditu.
Adibide honek nahiko labur eta sinplifikatu (eta hemen beste xehetasun mordoa gogoratuko dituzu) 2-4 mailetan gertatzen dena deskribatzen du. 1, 5-7 mailak ez dira kontuan hartzen.
Bigarren posizioa
Bada 192.168.B.0/24 zerbait berariaz bidaltzen zaio AAA2, ez da VPNra doa, zuzenean baizik. Hau da, erabiltzailea helbidetik bada 192.168.B.1 errekurtsoak AAA2:13389, pakete hau helbidetik dator BBB1, pasatzen da AAA2, eta gero bideratzaileak jasotzen du eta hari transmititzen dio 192.168.A.1. 192.168.A.1 ez daki ezer buruz 192.168.B.1, pakete bat ikusten du BBB1, lortu zuelako. Beraz, eskaera honen erantzunak bide orokorrari jarraitzen dio, helbidetik dator modu berean AAA2 eta doa BBB1, eta bideratzaile horrek bidaltzen dio erantzun hau 192.168.B.1, erantzuna ikusten du AAA2, nori zuzendu zitzaion.
Adibide zehatza:
1) 192.168.B.1 errekurtsoak AAA2, TCP konexio bat ezarri nahi du AAA2:13389;
2) 192.168.B.1 konexio eskaera bat bidaltzen du 192.168.B.1:55555 (zenbaki hau, aurreko adibidean bezala, ezberdina izan daiteke) on AAA2:13389;
3) helbidea duen ordenagailu batean exekutatzen den sistema eragilea 192.168.B.1, pakete hau bideratzailearen atebide helbidera birbidaltzea erabakitzen du (192.168.B.254 gure kasuan), beste ibilbide zehatzagoak direlako AAA2, ez du halakorik, hau da, paketea bide lehenetsiaren bidez transmititzen du (0.0.0.0/0);
4) horretarako, aurreko adibidean aipatu dugun bezala, IP helbidearen MAC helbidea aurkitzen saiatzen da 192.168.B.254 ARP protokoloaren cache taulan. Detektatzen ez bada, helbidetik bidaltzen du 192.168.B.1 igorri nork-duen eskaera sarera 192.168.B.0/24. denean 192.168.B.254 erantzunez, bere MAC helbidea bidaltzen dio, sistemak Ethernet pakete bat transmititzen dio eta informazio hori bere cache-taulan sartzen du;
5) bideratzaileak pakete hau jasotzen du eta non birbidali erabakitzen du: idatzizko politika du, zeinaren arabera birbidali behar ditu (itzultzeko helbidea ordezkatuz) pakete guztiak. 192.168.B.0/24 Interneteko beste nodoetara;
6) Politika honek itzulera helbidea pakete hau transmitituko den interfazeko helbide baxuarekin bat etorri behar duela esan nahi duenez, bideratzaileak erabakitzen du lehenik pakete hori nori bidali behar dion eta, aurreko adibidean bezala, bidali behar du. to BBB254 (ISP atea) bide zehatzagoak daudelako AAA2, 0.0.0.0/0 baino, ez du;
7) beraz, bideratzaileak paketearen itzulera helbidea ordezkatzen du, hemendik aurrera paketea BBB1:44444 (portu zenbakia, noski, ezberdina izan daiteke) to AAA2:13389;
8) bideratzaileak zer egin zuen gogoratzen du, hau da, noiz AAA2:13389 ΠΊ BBB1:44444 erantzuna iristen denean, jakingo du helmuga helbidea eta portua aldatu behar dituela 192.168.B.1:55555.
9) orain bideratzaileak ISP sarera pasa beharko luke BBB254horregatik, lehen aipatu dugun bezala, MAC helbidea aurkitzen du BBB254 eta paketea ISP atebidera igortzen du;
10) Interneteko hornitzaileek paketeak igortzen dituzte BBB1 on AAA2;
11) bideratzaile birtuala aktibatuta AAA2 pakete hau 13389 atakan jasotzen du;
12) bideratzaile birtualean arau bat dago portu honetan edozein igorletik jasotako paketeak helarazi behar direla ezartzen duena. 192.168.A.1:3389;
13) bideratzaile birtualak bideratze-taulan aurkitzen du sarea 192.168.A.0/24 eta zuzenean bidaltzen du 192.168.A.1 interfazea duelako 192.168.A.254/24;
14) horretarako, bideratzaile birtualak MAC helbidea aurkitzen du 192.168.A.1 eta pakete hori Ethernet sare birtual baten bidez transmititzen dio;
15) 192.168.A.1 pakete hau 3389 portuan jasotzen du, konexio bat ezartzea onartzen du eta pakete bat sortzen du. 192.168.A.1:3389 on BBB1:44444;
16) bere sistemak pakete hau bideratzaile birtualaren atebide-helbidera igortzen du (192.168.A.254 gure kasuan), beste ibilbide zehatzagoak direlako BBB1, ez du, beraz, lehenetsitako bidetik (0.0.0.0/0) bidali behar du paketea;
17) aurreko kasuetan bezalaxe, helbidea duen zerbitzari batean exekutatzen den sistema 192.168.A.1, MAC helbidea aurkitzen du 192.168.A.254, bere interfazearekin sare berean baitago 192.168.A.1/24;
18) bideratzaile birtualak pakete hau jasotzen du. Kontuan izan behar da zer jaso zuen gogoratzen duela AAA2:13389 paketetik BBB1:44444 eta hartzailearen helbidea eta portua aldatu zituen 192.168.A.1:3389, beraz, paketea 192.168.A.1:3389 egiteko BBB1:44444 igorlearen helbidea aldatzen du AAA2:13389;
19) bideratzaile birtualak erabakitzen du pakete hau nori bidali, eta bidaltzen dio AAA254 (ISP atea, kasu honetan, hori ere gu gara), bide zehatzagoak daudelako BBB1, 0.0.0.0/0 baino, ez du;
20) Interneteko hornitzaileek pakete bat transmititzen dute AAA2 on BBB1;
21) bideratzailea piztuta BBB1 pakete hau jasotzen du eta paketea bidali zuenean gogoratzen du 192.168.B.1:55555 egiteko AAA2:13389, helbidea eta igorlearen ataka honetara aldatu zituen BBB1:44444, orduan hau da bidali beharreko erantzuna 192.168.B.1:55555 (Izan ere, hainbat egiaztapen gehiago daude bertan, baina ez gara horretan sakontzen);
22) zuzenean helarazi behar zaiola ulertzen du 192.168.B.1, berarekin sare berean dagoenez, beraz, bideratze-taulan dagokion sarrera du, eta horrek behartzen du osoko paketeak bidaltzera. 192.168.B.0/24 zuzenean;
23) bideratzaileak MAC helbidea aurkitzen du 192.168.B.1 eta pakete hau ematen dio;
24) helbidea duen ordenagailu batean sistema eragilea 192.168.B.1 pakete bat jasotzen du AAA2:13389 egiteko 192.168.B.1:55555 eta TCP konexio bat ezartzeko hurrengo urratsak hasten ditu.
Kontuan izan behar da kasu honetan helbidea duen ordenagailua 192.168.B.1 helbidea duen zerbitzariari buruz ezer ez daki 192.168.A.1, bakarrik komunikatzen da AAA2. Era berean, helbidea duen zerbitzaria 192.168.A.1 helbidea duen ordenagailuari buruz ezer ez daki 192.168.B.1. Helbidetik konektatuta zegoela uste du BBB1, eta ez daki beste ezer, nolabait esateko.
Kontuan izan behar da, gainera, ordenagailu hau sartzen bada AAA2:1540, konexioa ez da ezarriko 1540 atakarako konexioa birbidaltzea bideratzaile birtualean konfiguratuta ez dagoelako, sare birtualeko edozein zerbitzaritan bada ere. 192.168.A.0/24 (adibidez, helbidea duen zerbitzari batean 192.168.A.1) eta portu honetan konexioen zain dauden zerbitzu batzuk daude. Helbide bat duen ordenagailu erabiltzailea bada 192.168.B.1 Ezinbestekoa da zerbitzu honetarako konexioa ezartzea, VPN bat erabili behar du, hau da. zuzenean harremanetan jarri 192.168.A.1:1540.
Azpimarratu behar da konexioa ezartzeko edozein saiakera dela AAA1 (IPSec konexioa izan ezik BBB1 ez du arrakastarik izango. Konexioak ezartzeko saiakera oro AAA2, 13389 atakarako konexioak izan ezik, ere ez du arrakastarik izango.
Hala bada ere ohartzen gara AAA2 Beste norbaitek eskatzen badu (adibidez, CCCC), 10-20 paragrafoetan adierazitako guztia berari ere aplikatuko zaio. Horren aurretik eta ondoren gertatzen dena CCCC honen atzean dagoenaren araberakoa da. Ez dugu informazio hori, beraz, CCCC helbidea duten nodoaren administratzaileei kontsultatzea gomendatzen dizugu.
Hiru postua
Eta, alderantziz, bada 192.168.A.1 zerbait BBB1-era barrurantz birbidaltzeko konfiguratuta dagoen ataka batera bidaltzen da (adibidez, 11111), ez da VPNan amaitzen, baizik eta besterik gabe. AAA1 eta sartzen da BBB1, eta dagoeneko nonbait transmititzen du, esate baterako, 192.168.B.2:3389. Pakete hau ez da ikusten 192.168.A.1, eta AAA1. Eta noiz 192.168.B.2 erantzunak, paketea nondik dator BBB1 on AAA1, eta geroago konexioaren abiarazlera iristen da - 192.168.A.1.
Adibide zehatza:
1) 192.168.A.1 errekurtsoak BBB1, TCP konexio bat ezarri nahi du BBB1:11111;
2) 192.168.A.1 konexio eskaera bat bidaltzen du 192.168.A.1:55555 (zenbaki hau, aurreko adibidean bezala, ezberdina izan daiteke) on BBB1:11111;
3) helbidea duen zerbitzari batean exekutatzen den sistema eragilea 192.168.A.1, pakete hau bideratzailearen atebide helbidera birbidaltzea erabakitzen du (192.168.A.254 gure kasuan), beste ibilbide zehatzagoak direlako BBB1, ez du, beraz, lehenetsitako bidetik (0.0.0.0/0) igortzen du paketea;
4) horretarako, aurreko adibideetan aipatu dugun bezala, IP helbidearen MAC helbidea aurkitzen saiatzen da 192.168.A.254 ARP protokoloaren cache taulan. Detektatzen ez bada, helbidetik bidaltzen du 192.168.A.1 igorri nork-duen eskaera sarera 192.168.A.0/24. denean 192.168.A.254 erantzunez, bere MAC helbidea bidaltzen dio, sistemak Ethernet pakete bat transmititzen dio horretarako eta informazio hori bere cache-taulan sartzen du;
5) bideratzaile birtualak pakete hau jasotzen du eta non birbidali erabakitzen du: idatzizko politika du, zeinaren arabera birbidali behar ditu (itzultzeko helbidea ordezkatuz) pakete guztiak. 192.168.A.0/24 Interneteko beste nodoetara;
6) politika honek itzulera helbidea pakete hau transmitituko den interfazeko helbide baxuarekin bat etorri behar duela suposatzen duenez, bideratzaile birtualak lehenik eta behin pakete hori nori bidali behar dion erabakitzen du, eta berak, aurreko adibidean bezala, bidali behar du. gainean AAA254 (ISP atea, kasu honetan, hori ere gu gara), bide zehatzagoak daudelako BBB1, 0.0.0.0/0 baino, ez du;
7) horrek esan nahi du bideratzaile birtualak paketearen itzulera helbidea ordezkatzen duela, hemendik aurrera pakete bat da. AAA1:44444 (portu zenbakia, noski, ezberdina izan daiteke) to BBB1:11111;
8) bideratzaile birtualak zer egin zuen gogoratzen du, beraz, noiztik BBB1:11111 egiteko AAA1:44444 erantzuna iristen denean, jakingo du helmuga helbidea eta portua aldatu behar dituela 192.168.A.1:55555.
9) orain bideratzaile birtualak ISP sarera pasa beharko luke AAA254, beraz, lehen aipatu dugun bezala, MAC helbidea aurkitzen du AAA254 eta paketea ISP atebidera igortzen du;
10) Interneteko hornitzaileek paketeak igortzen dituzte AAA1etik BBB1era;
11) bideratzailea piztuta BBB1 pakete hau 11111 atakan jasotzen du;
12) bideratzaile birtualean arau bat dago ataka honetako edozein igorletik iristen diren paketeak bidali behar direla ezartzen duena. 192.168.B.2:3389;
13) bideratzaileak sarea aurkitzen du bideratze-taulan 192.168.B.0/24 eta zuzenean bidaltzen du 192.168.B.2, interfazea duelako 192.168.B.254/24;
14) horretarako, bideratzaile birtualak MAC helbidea aurkitzen du 192.168.B.2 eta pakete hori Ethernet sare birtual baten bidez transmititzen dio;
15) 192.168.B.2 pakete hau 3389 portuan jasotzen du, konexio bat ezartzea onartzen du eta pakete bat sortzen du. 192.168.B.2:3389 on AAA1:44444;
16) bere sistemak pakete hau bideratzailearen atebide helbidera igortzen du (192.168.B.254 gure kasuan), beste ibilbide zehatzagoak direlako AAA1, ez du, beraz, lehenetsitako bidetik (0.0.0.0/0) bidali behar du paketea;
17) aurreko kasuetan bezala, helbidea duen ordenagailu batean exekutatzen den sistema 192.168.B.2, MAC helbidea aurkitzen du 192.168.B.254, bere interfazearekin sare berean baitago 192.168.B.2/24;
18) bideratzaileak pakete hau jasotzen du. Kontuan izan behar da zer jaso zuen gogoratzen duela BBB1:11111 paketetik AAA1 eta hartzailearen helbidea eta portua aldatu zituen 192.168.B.2:3389, beraz, paketea 192.168.B.2:3389 egiteko AAA1:44444 igorlearen helbidea aldatzen du BBB1:11111;
19) bideratzaileak erabakitzen du pakete hau nori bidali. Hona bidaltzen du, esate baterako, BBB254 (ISP atebidea, zeinaren helbide zehatza ez dakigu), ez dagoelako bide zehatzagorik AAA1, 0.0.0.0/0 baino, ez du;
20) Interneteko hornitzaileek pakete bat transmititzen dute BBB1 on AAA1;
21) bideratzaile birtuala aktibatuta AAA1 pakete hau jasotzen du eta paketea bidali zuenean gogoratzen du 192.168.A.1:55555 egiteko BBB1:11111, helbidea eta igorlearen ataka honetara aldatu zituen AAA1:44444. Horrek esan nahi du hori dela bidali beharreko erantzuna 192.168.A.1:55555 (izan ere, aurreko adibidean aipatu dugun bezala, beste hainbat egiaztapen ere badaude, baina oraingoan ez dugu horiekin sakontzen);
22) zuzenean helarazi behar zaiola ulertzen du 192.168.A.1, berarekin sare berean dagoenez, bideratze-taulan dagokion sarrera bat duela esan nahi du, paketeak osotara bidaltzera behartzen duena. 192.168.A.0/24 zuzenean;
23) bideratzaileak MAC helbidea aurkitzen du 192.168.A.1 eta pakete hau ematen dio;
24) helbidea duen zerbitzarian sistema eragilea 192.168.A.1 pakete bat jasotzen du BBB1:11111 egiteko 192.168.A.1:55555 eta TCP konexio bat ezartzeko hurrengo urratsak hasten ditu.
Aurreko kasuan bezalaxe, kasu honetan helbidea duen zerbitzaria 192.168.A.1 helbidea duen ordenagailuari buruz ezer ez daki 192.168.B.1, bakarrik komunikatzen da BBB1. Helbidea duen ordenagailua 192.168.B.1 helbidea duen zerbitzariari buruz ere ez daki ezer 192.168.A.1. Helbidetik konektatuta zegoela uste du AAA1, eta gainerakoa ezkutatuta dago.
Irteera
Horrela gertatzen da dena bezeroaren bulegoaren eta hodeiko ingurunearen arteko VPN tunelaren barruko konexioetarako, baita VPN tuneletik kanpoko konexioetarako ere. Eta zalantzaren bat baduzu edo gure laguntza behar baduzu hodeiko arazoak konpontzeko,
Iturria: www.habr.com