Rugadh earraí fíor ó litreacha chuig tacaíocht theicniúil Tucha. Mar shampla, tháinig cliant i dteagmháil linn le déanaí le hiarratas a dhéanamh soiléiriú a dhéanamh ar cad a tharlaíonn le linn naisc laistigh den tollán VPN idir oifig an úsáideora agus an timpeallacht scamall, chomh maith le linn naisc lasmuigh den tollán VPN. Mar sin, is litir iarbhír é an téacs iomlán thíos a sheolamar chuig duine dár gcliaint mar fhreagra ar a cheist. Ar ndóigh, athraíodh na seoltaí IP ionas nach gcuirfí an cliant gan ainm. Ach, tá, tá tacaíocht theicniúil Tucha i ndáiríre clúiteach as a chuid freagraí mionsonraithe agus ríomhphoist faisnéiseacha. 🙂
Ar ndóigh, tuigimid nach mbeidh an t-alt seo ina nochtadh do go leor. Ach, ós rud é go bhfeictear ailt do riarthóirí nua ar Habr ó am go chéile, agus freisin ó tháinig an t-alt seo le feiceáil ó fhíorlitir chuig cliant fíor, déanfaimid an fhaisnéis seo a roinnt fós anseo. Tá dóchúlacht ard ann go mbeidh sé úsáideach do dhuine éigin.
Mar sin, mínímid go mion cad a tharlaíonn idir an freastalaí sa scamall agus an oifig má tá siad nasctha le líonra láithreán-go-láithreán. Tabhair faoi deara nach bhfuil fáil ach ar roinnt seirbhísí ón oifig, agus go bhfuil teacht ar roinnt acu ó áit ar bith ar an Idirlíon.
Lig dúinn a mhíniú láithreach cad a bhí ár gcliant ag iarraidh ar an bhfreastalaí 192.168.A.1 d'fhéadfá teacht ó áit ar bith trí RDP, ag nascadh le A.A.A.2:13389, agus rochtain ar sheirbhísí eile ón oifig amháin (192.168.B.0/24)ceangailte trí VPN. Chomh maith leis sin, bhí an cliant cumraithe ar dtús go bhfuil an carr 192.168.B.2 san oifig bhí sé indéanta freisin RDP a úsáid ó áit ar bith, ag nascadh le B.B.B.1:11111. Chuidíomar le naisc IPSec a eagrú idir an scamall agus an oifig, agus thosaigh speisialtóir TF an chustaiméara ag cur ceisteanna ar cad a tharlódh sa chás seo nó sa chás sin. Chun na ceisteanna seo go léir a fhreagairt, scríobhamar, i ndáiríre, dó gach rud is féidir leat a léamh thíos.
Anois, déanaimis breathnú ar na próisis seo níos mine.
Seasamh a haon
Nuair a sheoltar rud éigin ó 192.168.B.0/24 в 192.168.A.0/24 nó ó 192.168.A.0/24 в 192.168.B.0/24, téann sé isteach sa VPN. Is é sin le rá go ndéantar an paicéad seo a chriptiú agus a tharchur idir B.B.B.1 и A.A.A.1Ach 192.168.A.1 Feiceann an pacáiste go díreach ó 192.168.B.1. Is féidir leo cumarsáid a dhéanamh lena chéile ag baint úsáide as aon phrótacal. Tarchuirtear freagraí tuairisceáin ar an mbealach céanna tríd an VPN, rud a chiallaíonn go bhfuil an paicéad ó 192.168.A.1 le haghaidh 192.168.B.1 seolfar é mar datagram ó ESP ó A.A.A.1 ar B.B.B.1, a scaoilfidh an ródaire ar an taobh sin, bain amach an paicéad sin uaidh agus seol chuig 192.168.B.1 mar phacáiste ó 192.168.A.1.
Sampla sonrach:
1) 192.168.B.1 achomhairc chuig 192.168.A.1, ag iarraidh nasc TCP a bhunú le 192.168.A.1:3389;
2) 192.168.B.1 seolann iarratas ceangail ó 192.168.B.1:55555 (roghnaíonn sé an uimhir phoirt é féin le haghaidh aiseolais; anseo feasta úsáidfimid an uimhir 55555 mar shampla den uimhir phoirt a roghnaíonn an córas agus nasc TCP á fhoirmiú aige) ar 192.168.A.1:3389;
3) córas oibriúcháin a ritheann ar ríomhaire leis an seoladh 192.168.B.1, socraíonn an paicéad seo a chur ar aghaidh chuig seoladh tairsí an ródaire (192.168.B.254 inár gcás), toisc go bhfuil bealaí eile, níos sainiúla le haghaidh 192.168.A.1, níl sé aige, mar sin, tarchuireann sé an paicéad tríd an mbealach réamhshocraithe (0.0.0.0/0);
4) chuige seo déanann sé iarracht seoladh MAC an seoladh IP a aimsiú 192.168.B.254 sa tábla taisce prótacal ARP. Mura n-aimsítear é, seolann ón seoladh 192.168.B.1 craoladh a bhfuil iarratas chuig an líonra 192.168.B.0/24... Cathain 192.168.B.254 mar fhreagra, seolann sé a sheoladh MAC chuici, tarchuireann an córas paicéad Ethernet dó agus cuireann sé an fhaisnéis seo isteach ina tábla taisce;
5) faigheann an ródaire an paicéad seo agus socraíonn sé cá háit ar cheart é a chur ar aghaidh: tá polasaí scríofa aige a gcaithfidh sé gach paicéad a sheoladh idir 192.168.B.0/24 и 192.168.A.0/24 aistriú thar nasc VPN idir B.B.B.1 и A.A.A.1;
6) gineann an ródaire datagram ESP ó B.B.B.1 ar A.A.A.1;
7) go gcinnfidh an ródaire cé chuige a seolfar an paicéad seo, seolann sé chucu é, abair, B.B.B.254 (geata ISP) toisc go bhfuil bealaí níos sainiúla chuig A.A.A.1, ná 0.0.0.0/0, nach bhfuil;
8) díreach mar a dúradh cheana, aimsíonn sé an seoladh MAC do B.B.B.254 agus an paicéad a tharchur chuig an geata ISP;
9) Tarchuireann soláthraithe idirlín datagram ESP ó B.B.B.1 ar A.A.A.1;
10) ródaire fíorúil ar A.A.A.1 faigheann sé an datagram seo, díchriptíonn sé é agus faigheann sé paicéad ó 192.168.B.1:55555 le haghaidh 192.168.A.1:3389;
11) seiceálann an ródaire fíorúil cé dó a rachaidh sé ar aghaidh, aimsíonn sé an líonra sa tábla ródaithe 192.168.A.0/24 agus seolann sé go díreach chuig 192.168.A.1, toisc go bhfuil comhéadan aige 192.168.A.254/24;
12) le haghaidh seo, aimsíonn an ródaire fíorúil an seoladh MAC le haghaidh 192.168.A.1 agus a tharchuireann an paicéad seo chuige trí líonra Ethernet fíorúil;
13) 192.168.A.1 faigheann sé an paicéad seo ar phort 3389, aontaíonn sé nasc a bhunú agus gineann sé paicéad mar fhreagra ó 192.168.A.1:3389 ar 192.168.B.1:55555;
14) tarchuireann a chóras an paicéad seo chuig seoladh geata an ródaire fíorúil (192.168.A.254 inár gcás), toisc go bhfuil bealaí eile, níos sainiúla le haghaidh 192.168.B.1, níl sé aige, mar sin, caithfidh sé an paicéad a tharchur tríd an mbealach réamhshocraithe (0.0.0.0/0);
15) mar an gcéanna i gcásanna roimhe seo, córas a ritheann ar fhreastalaí leis an seoladh 192.168.A.1, aimsíonn an seoladh MAC 192.168.A.254, ós rud é go bhfuil sé ar an líonra céanna lena chomhéadan 192.168.A.1/24;
16) faigheann an ródaire fíorúil an paicéad seo agus socraíonn sé cá háit ar cheart é a chur ar aghaidh: tá polasaí scríofa aige a gcaithfidh sé gach paicéad a sheoladh idir 192.168.A.0/24 и 192.168.B.0/24 aistriú thar nasc VPN idir A.A.A.1 и B.B.B.1;
17) gineann an ródaire fíorúil datagram ESP ó A.A.A.1 le haghaidh B.B.B.1;
18) go gcinnfidh an ródaire fíorúil cé chuige a seolfar an paicéad seo, seolann sé/sí é A.A.A.254 (Geata ISP, sa chás seo, sin sinne freisin), toisc go bhfuil bealaí níos sainiúla ann B.B.B.1, ná 0.0.0.0/0, nach bhfuil;
19) Tarchuireann soláthraithe idirlín datagram ESP thar a líonraí le A.A.A.1 ar B.B.B.1;
20) ródaire ar B.B.B.1 faigheann sé an datagram seo, díchriptíonn sé é agus faigheann sé paicéad ó 192.168.A.1:3389 le haghaidh 192.168.B.1:55555;
21) tuigeann sé gur cheart é a aistriú go sonrach 192.168.B.1, ós rud é go bhfuil sé ar an líonra céanna leis, mar sin, tá iontráil chomhfhreagrach aige sa tábla ródaithe, a chuireann iallach air paicéid a sheoladh don iomlán 192.168.B.0/24 go díreach ;
22) aimsíonn an ródaire an seoladh MAC le haghaidh 192.168.B.1 agus lámha dó an pacáiste seo;
23) córas oibriúcháin ar ríomhaire leis an seoladh 192.168.B.1 fhaigheann pacáiste ó 192.168.A.1:3389 le haghaidh 192.168.B.1:55555 agus cuireann sé tús leis na chéad chéimeanna eile chun nasc TCP a bhunú.
Déanann an sampla seo gonta agus go simplí go leor (agus anseo is féidir leat cuimhneamh ar roinnt sonraí eile) cur síos ar cad a tharlaíonn ag leibhéil 2-4. Ní bhreathnaítear ar leibhéil 1, 5-7.
Seasamh a dó
Más le 192.168.B.0/24 seoltar rud éigin go sonrach chuig A.A.A.2, ní théann sé chuig an VPN, ach go díreach. Is é sin, má tá an t-úsáideoir as an seoladh 192.168.B.1 achomhairc chuig A.A.A.2:13389, tagann an paicéad seo ón seoladh B.B.B.1, Gabhann ar aghaidh A.A.A.2, agus ansin faigheann an ródaire é agus a tharchur chuig 192.168.A.1. 192.168.A.1 níl a fhios ag aon rud faoi 192.168.B.1, feiceann sé pacáiste ó B.B.B.1, mar fuair sé air. Mar sin, leanann an freagra ar an iarratas seo an bealach ginearálta, tagann sé ón seoladh ar an mbealach céanna A.A.A.2 agus téann go B.B.B.1, agus seolann an ródaire sin an freagra seo chuig 192.168.B.1, feiceann sé an freagra ó A.A.A.2, chuig ar labhair sé.
Sampla sonrach:
1) 192.168.B.1 achomhairc chuig A.A.A.2, ag iarraidh nasc TCP a bhunú le A.A.A.2:13389;
2) 192.168.B.1 seolann iarratas ceangail ó 192.168.B.1:55555 (d'fhéadfadh an uimhir seo, mar atá sa sampla roimhe seo, a bheith difriúil) ar A.A.A.2:13389;
3) córas oibriúcháin a ritheann ar ríomhaire leis an seoladh 192.168.B.1, socraíonn an paicéad seo a chur ar aghaidh chuig seoladh tairsí an ródaire (192.168.B.254 inár gcás), toisc go bhfuil bealaí eile, níos sainiúla le haghaidh A.A.A.2, níl ceann aige, rud a chiallaíonn go dtarchuireann sé an paicéad tríd an mbealach réamhshocraithe (0.0.0.0/0);
4) le haghaidh seo, mar atá luaite againn sa sampla roimhe seo, déanann sé iarracht a fháil ar an seoladh MAC le haghaidh an seoladh IP 192.168.B.254 sa tábla taisce prótacal ARP. Mura n-aimsítear é, seolann ón seoladh 192.168.B.1 craoladh a bhfuil iarratas chuig an líonra 192.168.B.0/24... Cathain 192.168.B.254 mar fhreagra, seolann sé a sheoladh MAC chuici, tarchuireann an córas paicéad Ethernet dó agus cuireann sé an fhaisnéis seo isteach ina tábla taisce;
5) faigheann an ródaire an paicéad seo agus socraíonn sé cá háit ar cheart é a chur ar aghaidh: tá polasaí scríofa aige a gcaithfidh sé gach paicéad a chur ar aghaidh (in ionad an seoladh fillte) dá réir. 192.168.B.0/24 chuig nóid Idirlín eile;
6) ós rud é go dtugann an polasaí seo le tuiscint go gcaithfidh an seoladh fillte a bheith ag teacht leis an seoladh íseal ar an gcomhéadan trína dtarchuirfear an paicéad seo, cinneann an ródaire ar dtús cé go díreach a sheolfaidh an paicéad seo, agus caithfidh sé, mar atá sa sampla roimhe seo, é a sheoladh chun B.B.B.254 (geata ISP) toisc go bhfuil bealaí níos sainiúla chuig A.A.A.2, ná 0.0.0.0/0, nach bhfuil;
7) mar sin, cuirtear an ródaire in ionad seoladh fillte an phaicéid, as seo amach as an bpaicéad B.B.B.1:44444 (uimhir calafoirt, ar ndóigh, d'fhéadfadh a bheith difriúil) go A.A.A.2:13389;
8) cuimhníonn an ródaire cad a rinne sé, rud a chiallaíonn cathain A.A.A.2:13389 к B.B.B.1:44444 freagra a thagann, beidh a fhios aige gur chóir dó an seoladh ceann scríbe agus an calafort a athrú go 192.168.B.1:55555.
9) anois ba chóir don ródaire é a chur ar aghaidh chuig líonra ISP trí B.B.B.254mar sin, díreach mar atá luaite againn cheana, aimsíonn sé an seoladh MAC do B.B.B.254 agus an paicéad a tharchur chuig an geata ISP;
10) Tarchuireann soláthraithe idirlín paicéid ó B.B.B.1 ar A.A.A.2;
11) ródaire fíorúil ar A.A.A.2 faigheann sé an paicéad seo ar phort 13389;
12) tá riail maidir leis an ródaire fíorúil a shonraíonn gur cheart paicéid a fhaightear ó aon seoltóir ar an bport seo a tharchur chuig 192.168.A.1:3389;
13) aimsíonn an ródaire fíorúil an líonra sa tábla ródaithe 192.168.A.0/24 agus cuireann sé go díreach é 192.168.A.1 toisc go bhfuil comhéadan aige 192.168.A.254/24;
14) le haghaidh seo, aimsíonn an ródaire fíorúil an seoladh MAC le haghaidh 192.168.A.1 agus a tharchuireann an paicéad seo chuige trí líonra Ethernet fíorúil;
15) 192.168.A.1 faigheann sé an paicéad seo ar phort 3389, aontaíonn sé nasc a bhunú agus gineann sé paicéad mar fhreagra ó 192.168.A.1:3389 ar B.B.B.1:44444;
16) tarchuireann a chóras an paicéad seo chuig seoladh geata an ródaire fíorúil (192.168.A.254 inár gcás), toisc go bhfuil bealaí eile, níos sainiúla le haghaidh B.B.B.1, níl sé aige, mar sin, caithfidh sé an paicéad a tharchur tríd an mbealach réamhshocraithe (0.0.0.0/0);
17) díreach mar an gcéanna le cásanna roimhe seo, córas a ritheann ar fhreastalaí leis an seoladh 192.168.A.1, aimsíonn an seoladh MAC 192.168.A.254, ós rud é go bhfuil sé ar an líonra céanna lena chomhéadan 192.168.A.1/24;
18) faigheann an ródaire fíorúil an paicéad seo. Ba chóir a thabhairt faoi deara gur cuimhin leis an méid a fuair sé ar A.A.A.2:13389 pacáiste ó B.B.B.1:44444 agus d'athraigh sé seoladh agus port a fhaighteora go 192.168.A.1:3389, mar sin, an pacáiste ó 192.168.A.1:3389 le haghaidh B.B.B.1:44444 athraíonn sé seoladh an tseoltóra go A.A.A.2:13389;
19) go gcinnfidh an ródaire fíorúil cé chuige a seolfaidh sé an paicéad seo, seolann sé chuige é A.A.A.254 (Geata ISP, sa chás seo, sin sinne freisin), toisc go bhfuil bealaí níos sainiúla ann B.B.B.1, ná 0.0.0.0/0, nach bhfuil;
20) Tarchuireann soláthraithe idirlín paicéad le A.A.A.2 ar B.B.B.1;
21) ródaire ar B.B.B.1 Faigheann sé an paicéad seo agus cuimhin leis nuair a sheol sé an paicéad ó 192.168.B.1:55555 le haghaidh A.A.A.2:13389, d'athraigh sé a sheoladh agus a phort seoltóra go B.B.B.1:44444, ansin is é seo an freagra nach mór a sheoladh chuig 192.168.B.1:55555 (go deimhin, tá roinnt seiceálacha eile ann, ach ní dhéanaimid dul isteach go domhain faoi sin);
22) tuigeann sé gur chóir é a tharchur go díreach chuig 192.168.B.1, ós rud é go bhfuil sé ar an líonra céanna leis, mar sin, tá iontráil chomhfhreagrach aige sa tábla ródaithe, a chuireann iallach air paicéid a sheoladh don iomlán 192.168.B.0/24 go díreach ;
23) aimsíonn an ródaire an seoladh MAC le haghaidh 192.168.B.1 agus lámha dó an pacáiste seo;
24) córas oibriúcháin ar ríomhaire leis an seoladh 192.168.B.1 fhaigheann pacáiste ó A.A.A.2:13389 le haghaidh 192.168.B.1:55555 agus cuireann sé tús leis na chéad chéimeanna eile chun nasc TCP a bhunú.
Ba chóir a thabhairt faoi deara go bhfuil sa chás seo an ríomhaire leis an seoladh 192.168.B.1 níl a fhios aige faoin bhfreastalaí leis an seoladh 192.168.A.1, ní dhéanann sé cumarsáid ach leis A.A.A.2. Mar an gcéanna, an freastalaí leis an seoladh 192.168.A.1 eolas ar an ríomhaire leis an seoladh 192.168.B.1. Creideann sé go raibh baint aige ón seoladh B.B.B.1, agus níl a fhios aige rud ar bith eile, mar a déarfá.
Ba chóir a thabhairt faoi deara freisin má fhaigheann an ríomhaire seo rochtain A.A.A.2:1540, ní bhunófar an nasc toisc nach bhfuil cur ar aghaidh an naisc go port 1540 cumraithe ar an ródaire fíorúil, fiú más ar aon fhreastalaí sa líonra fíorúil 192.168.A.0/24 (mar shampla, ar fhreastalaí leis an seoladh 192.168.A.1) agus tá roinnt seirbhísí atá ag fanacht le naisc ar an gcalafort seo. Más úsáideoir ríomhaire le seoladh 192.168.B.1 Tá sé riachtanach nasc a bhunú leis an tseirbhís seo, caithfidh sé VPN a úsáid, i.e. déan teagmháil go díreach 192.168.A.1:1540.
Ba chóir béim a leagan ar aon iarracht chun nasc a bhunú le A.A.A.1 (seachas an nasc IPSec ón B.B.B.1 ní bheidh rath. Aon iarrachtaí chun naisc a bhunú le A.A.A.2, ach amháin i gcás naisc le calafort 13389, ní éireoidh leo freisin.
Tugaimid faoi deara freisin más rud é go A.A.A.2 Má dhéanann duine éigin eile teagmháil leat (mar shampla, C.C.C.C), bainfidh gach rud a luaitear i míreanna 10-20 leis freisin. Braitheann cad a tharlaíonn roimh agus ina dhiaidh seo ar cad go díreach atá taobh thiar den C.C.C.C. Níl a leithéid d’eolas againn, mar sin molaimid duit comhairle a lorg ó riarthóirí an tsuímh leis an seoladh C.C.C.C.
Seasamh a trí
Agus, os a choinne sin, más le 192.168.A.1 seoltar rud éigin chuig calafort éigin atá cumraithe le cur ar aghaidh isteach go B.B.B.1 (mar shampla, 11111), ní théann sé isteach sa VPN ach oiread, ach sreabhann sé ó A.A.A.1 agus téann isteach B.B.B.1, agus tarchuireann sé cheana áit éigin i, abair, 192.168.B.2:3389. Feiceann sé nach bhfuil an pacáiste seo ó 192.168.A.1, ach A.A.A.1. Agus nuair a 192.168.B.2 freagraí, tá an pacáiste ag teacht ó B.B.B.1 ar A.A.A.1, agus téann sé chuig an tionscnóir ceangail níos déanaí - 192.168.A.1.
Sampla sonrach:
1) 192.168.A.1 achomhairc chuig B.B.B.1, ag iarraidh nasc TCP a bhunú le B.B.B.1:11111;
2) 192.168.A.1 seolann iarratas ceangail ó 192.168.A.1:55555 (d'fhéadfadh an uimhir seo, mar atá sa sampla roimhe seo, a bheith difriúil) ar B.B.B.1:11111;
3) córas oibriúcháin a ritheann ar fhreastalaí leis an seoladh 192.168.A.1, socraíonn an paicéad seo a chur ar aghaidh chuig seoladh tairsí an ródaire (192.168.A.254 inár gcás), toisc go bhfuil bealaí eile, níos sainiúla le haghaidh B.B.B.1, níl sé aige, mar sin, tarchuireann sé an paicéad tríd an mbealach réamhshocraithe (0.0.0.0/0);
4) le haghaidh seo, mar atá luaite againn i samplaí roimhe seo, déanann sé iarracht a fháil ar an seoladh MAC le haghaidh an seoladh IP 192.168.A.254 sa tábla taisce prótacal ARP. Mura n-aimsítear é, seolann ón seoladh 192.168.A.1 craoladh a bhfuil iarratas chuig an líonra 192.168.A.0/24... Cathain 192.168.A.254 mar fhreagra, seolann sé a sheoladh MAC chuici, tarchuireann an córas paicéad Ethernet chuige agus cuireann sé an fhaisnéis seo isteach ina tábla taisce;
5) faigheann an ródaire fíorúil an paicéad seo agus socraíonn sé cá háit ar cheart é a chur ar aghaidh: tá polasaí scríofa aige a gcaithfidh sé gach paicéad a chur ar aghaidh (in ionad an seoladh fillte) dá réir. 192.168.A.0/24 chuig nóid Idirlín eile;
6) ós rud é go nglactar leis sa pholasaí seo go gcaithfidh an seoladh fillte a bheith ag teacht leis an seoladh íseal ar an gcomhéadan trína dtarchuirfear an paicéad seo, cinneann an ródaire fíorúil ar dtús cé go díreach a sheolfaidh an paicéad seo, agus ní mór dó, mar atá sa sampla roimhe seo, a sheoladh. é ar A.A.A.254 (Geata ISP, sa chás seo, sin sinne freisin), toisc go bhfuil bealaí níos sainiúla ann B.B.B.1, ná 0.0.0.0/0, nach bhfuil;
7) ciallaíonn sé seo go bhfuil an ródaire fíorúil in ionad an seoladh fillte ar an bpaicéad, as seo amach is paicéad ó A.A.A.1:44444 (uimhir calafoirt, ar ndóigh, d'fhéadfadh a bheith difriúil) go B.B.B.1:11111;
8) cuimhníonn an ródaire fíorúil cad a rinne sé, mar sin, cén uair ó B.B.B.1:11111 le haghaidh A.A.A.1:44444 freagra a thagann, beidh a fhios aige gur chóir dó an seoladh ceann scríbe agus an calafort a athrú go 192.168.A.1:55555.
9) anois ba chóir don ródaire fíorúil é a chur ar aghaidh chuig líonra ISP trí A.A.A.254, mar sin díreach mar atá luaite againn cheana féin, aimsíonn sé an seoladh MAC do A.A.A.254 agus an paicéad a tharchur chuig an geata ISP;
10) Tarchuireann soláthraithe idirlín paicéid ó A.A.A.1 go B.B.B.1;
11) ródaire ar B.B.B.1 faigheann sé an paicéad seo ar phort 11111;
12) tá riail maidir leis an ródaire fíorúil a shonraíonn gur cheart paicéid a tháinig ó aon seoltóir ar an bport seo a tharchur chuig 192.168.B.2:3389;
13) aimsíonn an ródaire an líonra sa tábla ródaithe 192.168.B.0/24 agus seolann sé go díreach chuig 192.168.B.2, toisc go bhfuil comhéadan aige 192.168.B.254/24;
14) le haghaidh seo, aimsíonn an ródaire fíorúil an seoladh MAC le haghaidh 192.168.B.2 agus a tharchuireann an paicéad seo chuige trí líonra Ethernet fíorúil;
15) 192.168.B.2 faigheann sé an paicéad seo ar phort 3389, aontaíonn sé nasc a bhunú agus gineann sé paicéad mar fhreagra ó 192.168.B.2:3389 ar A.A.A.1:44444;
16) tarchuireann a chóras an paicéad seo chuig seoladh geata an ródaire (192.168.B.254 inár gcás), toisc go bhfuil bealaí eile, níos sainiúla le haghaidh A.A.A.1, níl sé aige, mar sin, caithfidh sé an paicéad a tharchur tríd an mbealach réamhshocraithe (0.0.0.0/0);
17) ar an mbealach céanna mar i gcásanna roimhe seo, córas a ritheann ar ríomhaire leis an seoladh 192.168.B.2, aimsíonn an seoladh MAC 192.168.B.254, ós rud é go bhfuil sé ar an líonra céanna lena chomhéadan 192.168.B.2/24;
18) faigheann an ródaire an paicéad seo. Ba chóir a thabhairt faoi deara gur cuimhin leis an méid a fuair sé ar B.B.B.1:11111 pacáiste ó A.A.A.1 agus d'athraigh sé seoladh agus port a fhaighteora go 192.168.B.2:3389, mar sin, an pacáiste ó 192.168.B.2:3389 le haghaidh A.A.A.1:44444 athraíonn sé seoladh an tseoltóra go B.B.B.1:11111;
19) cinneann an ródaire cé chuige a seolfar an paicéad seo. Cuireann sé chuig, abair, B.B.B.254 (Geata ISP, an seoladh cruinn nach bhfuil a fhios againn), toisc nach bhfuil aon bealaí níos sainiúla chuig A.A.A.1, ná 0.0.0.0/0, nach bhfuil;
20) Tarchuireann soláthraithe idirlín paicéad le B.B.B.1 ar A.A.A.1;
21) ródaire fíorúil ar A.A.A.1 Faigheann sé an paicéad seo agus cuimhin leis nuair a sheol sé an paicéad ó 192.168.A.1:55555 le haghaidh B.B.B.1:11111, d'athraigh sé a sheoladh agus a phort seoltóra go A.A.A.1:44444. Ciallaíonn sé seo gurb é seo an freagra nach mór a sheoladh chuig 192.168.A.1:55555 (go deimhin, mar a luadh muid sa sampla roimhe seo, tá roinnt seiceálacha eile ann freisin, ach an uair seo ní dhéanaimid dul isteach go domhain leo);
22) tuigeann sé gur chóir é a tharchur go díreach chuig 192.168.A.1, toisc go bhfuil sé ar an líonra céanna leis, ciallaíonn sé go bhfuil iontráil chomhfhreagrach aige sa tábla ródaithe a chuireann iallach air paicéid a sheoladh chuig an leagan iomlán 192.168.A.0/24 go díreach ;
23) aimsíonn an ródaire an seoladh MAC le haghaidh 192.168.A.1 agus lámha dó an pacáiste seo;
24) córas oibriúcháin ar an bhfreastalaí leis an seoladh 192.168.A.1 fhaigheann pacáiste ó B.B.B.1:11111 le haghaidh 192.168.A.1:55555 agus cuireann sé tús leis na chéad chéimeanna eile chun nasc TCP a bhunú.
Díreach mar an gcéanna leis an gcás roimhe seo, sa chás seo an freastalaí leis an seoladh 192.168.A.1 eolas ar an ríomhaire leis an seoladh 192.168.B.1, ní dhéanann sé cumarsáid ach leis B.B.B.1. Ríomhaire le seoladh 192.168.B.1 níl a fhios aige freisin faoin bhfreastalaí leis an seoladh 192.168.A.1. Creideann sé go raibh baint aige ón seoladh A.A.A.1, agus tá an chuid eile i bhfolach uaidh.
Aschur
Seo mar a tharlaíonn gach rud do naisc laistigh den tollán VPN idir oifig an chliaint agus an timpeallacht scamall, chomh maith le naisc lasmuigh den tollán VPN. Agus má tá aon cheist agat nó má tá ár gcabhair uait chun fadhbanna scamall a réiteach,
Foinse: will.com