Tha fìor artaigilean air am breith bho litrichean gu taic theicnigeach Tucha. Mar eisimpleir, thàinig neach-dèiligidh thugainn o chionn ghoirid le iarrtas airson soilleireachadh dè a thachras nuair a bhios ceanglaichean taobh a-staigh an tunail VPN eadar oifis an neach-cleachdaidh agus àrainneachd na sgòthan, a bharrachd air ceanglaichean taobh a-muigh tunail VPN. Mar sin, tha an teacsa gu h-ìosal na fhìor litir a chuir sinn gu aon den luchd-dèiligidh againn mar fhreagairt don cheist aige. Gu dearbh, chaidh na seòlaidhean IP atharrachadh gus nach cuir iad an neach-dèiligidh gun urra. Ach, tha, tha taic theicnigeach Tucha gu math ainmeil airson a fhreagairtean mionaideach agus puist-d fiosrachail. 🙂
Gu dearbh, tha sinn a 'tuigsinn nach bi an artaigil seo na fhoillseachadh dha mòran. Ach, leis gu bheil artaigilean airson luchd-rianachd ùr a’ nochdadh air Habr bho àm gu àm, agus cuideachd bhon a nochd an artaigil seo bho fhìor litir gu fìor neach-dèiligidh, bidh sinn fhathast a’ roinn an fhiosrachaidh seo an seo. Tha coltachd àrd ann gum bi e feumail do chuideigin.
Mar sin, bidh sinn a’ mìneachadh gu mionaideach dè thachras eadar an frithealaiche san sgòth agus an oifis ma tha iad ceangailte le lìonra làrach-gu-làraich. Thoir an aire nach fhaighear ach cuid de sheirbheisean bhon oifis, agus gheibhear cuid dhiubh bho àite sam bith air an eadar-lìn.
Leig dhuinn mìneachadh sa bhad na bha an neach-dèiligidh againn ag iarraidh air an t-seirbheisiche 192.168.A.1 dh'fhaodadh tu tighinn bho àite sam bith tro RDP, a' ceangal ri AAA 2: 13389, agus cothrom air seirbheisean eile bhon oifis a-mhàin (192.168.B.0/24)ceangailte tro VPN. Cuideachd, bha an neach-dèiligidh an toiseach air an càr a rèiteachadh 192.168.B.2 anns an oifis bha e comasach cuideachd RDP a chleachdadh bho àite sam bith, a 'ceangal ri BBB 1: 11111. Chuidich sinn le bhith ag eagrachadh cheanglaichean IPSec eadar an sgòth agus an oifis, agus thòisich eòlaiche IT an neach-ceannach a’ faighneachd cheistean mu na thachradh sa chùis seo no sa chùis sin. Gus na ceistean sin uile a fhreagairt, tha sinn, gu dearbh, sgrìobh e thuige a h-uile dad a leughas tu gu h-ìosal.
A-nis leig dhuinn sùil nas mionaidiche a thoirt air na pròiseasan sin.
Suidheachadh a h-aon
Nuair a thèid rudeigin a chuir às 192.168.B.0/24 в 192.168.A.0/24 no bho 192.168.A.0/24 в 192.168.B.0/24, bidh e a’ faighinn a-steach don VPN. Is e sin, tha am pasgan seo air a chrioptachadh a bharrachd agus air a ghluasad eadar BBB1 и AAA1ach 192.168.A.1 a ’faicinn a’ phacaid dìreach bho 192.168.B.1. Faodaidh iad conaltradh le chèile a’ cleachdadh protocol sam bith. Tha freagairtean tilleadh air an gluasad san aon dòigh tron VPN, a tha a’ ciallachadh gu bheil am pasgan bho 192.168.A.1 airson 192.168.B.1 thèid a chuir mar datagram ESP bho AAA1 air BBB1, a dh’ fhosglas an router air an taobh sin, thoir a-mach a’ phacaid sin bhuaithe agus cuir thuige e 192.168.B.1 mar phacaid bho 192.168.A.1.
Eisimpleir sònraichte:
1) 192.168.B.1 ath-thagraidhean gu 192.168.A.1, ag iarraidh ceangal TCP a stèidheachadh le 192.168.A.1:3389;
2) 192.168.B.1 a’ cur iarrtas ceangail bho 192.168.B.1:55555 (taghaidh e fhèin àireamh a’ phuirt airson fios air ais; an seo às deidh seo cleachdaidh sinn an àireamh 55555 mar eisimpleir den àireamh puirt a thaghas an siostam nuair a bhios sinn a’ cruthachadh ceangal TCP) air 192.168.A.1:3389;
3) siostam-obrachaidh a tha a 'ruith air coimpiutair leis an t-seòladh 192.168.B.1, a’ co-dhùnadh am pacaid seo a chuir air adhart gu seòladh geata an router (192.168.B.254 nar cùis), oir slighean eile, nas sònraichte airson 192.168.A.1, chan eil aige, mar sin, bidh e a 'toirt seachad a' phacaid tron t-slighe àbhaisteach (0.0.0.0/0);
4) airson seo bidh e a’ feuchainn ri seòladh MAC a lorg airson an t-seòladh IP 192.168.B.254 ann an clàr tasgadan protocol ARP. Mura lorgar e, cuiridh e bhon t-seòladh 192.168.B.1 craoladh cò aig a bheil iarrtas chun lìonra 192.168.B.0/24... Cuin 192.168.B.254 mar fhreagairt, bidh e a’ cur a sheòladh MAC thuige, bidh an siostam a’ sgaoileadh pacaid Ethernet air a shon agus a’ cuir a-steach am fiosrachadh seo a-steach don chlàr tasgadan aige;
5) bidh an router a’ faighinn a ’phacaid seo agus a’ co-dhùnadh càite an cuir e air adhart e: tha poileasaidh sgrìobhte aige a rèir am feum e a h-uile pacaid a chuir eadar 192.168.B.0/24 и 192.168.A.0/24 gluasad thairis air ceangal VPN eadar BBB1 и AAA1;
6) bidh an router a’ gineadh datagram ESP bho BBB1 air AAA1;
7) bidh an router a’ co-dhùnadh cò dha a chuireas am pasgan seo, bidh e ga chuir, can, BBB254 (geata ISP) leis gu bheil slighean nas sònraichte ann gu AAA1, na 0.0.0.0/0, chan eil;
8) dìreach mar a chaidh a ràdh mar-thà, lorg e an seòladh MAC airson BBB254 agus a 'toirt seachad a' phacaid gu geata ISP;
9) Bidh solaraichean eadar-lìn a’ sgaoileadh datagram ESP bho BBB1 air AAA1;
10) router brìgheil air adhart AAA1 a' faighinn an datagram seo, ga dhì-chrioptachadh agus a' faighinn pacaid bho 192.168.B.1:55555 airson 192.168.A.1:3389;
11) bidh an router brìgheil a’ sgrùdadh cò dha a bheir e seachad e, lorg e an lìonra anns a ’chlàr seòlaidh 192.168.A.0/24 agus ga chuir gu dìreach gu 192.168.A.1, oir tha eadar-aghaidh aige 192.168.A.254/24;
12) airson seo, lorgaidh an router brìgheil an seòladh MAC airson 192.168.A.1 agus a’ cur a’ phacaid seo thuige tro lìonra Ethernet brìgheil;
13) 192.168.A.1 a 'faighinn a' phacaid seo air port 3389, ag aontachadh ceangal a stèidheachadh agus a 'cruthachadh pasgan mar fhreagairt bho 192.168.A.1:3389 air 192.168.B.1:55555;
14) bidh an siostam aige a’ sgaoileadh a’ phacaid seo gu seòladh geata an router brìgheil (192.168.A.254 nar cùis), oir slighean eile, nas sònraichte airson 192.168.B.1, chan eil aige, mar sin, feumaidh e am pasgan a tharraing tron t-slighe àbhaisteach (0.0.0.0/0);
15) an aon rud ri ann an cùisean roimhe, siostam a tha a 'ruith air frithealaiche leis an t-seòladh 192.168.A.1, lorg an seòladh MAC 192.168.A.254, leis gu bheil e air an aon lìonra leis an eadar-aghaidh aige 192.168.A.1/24;
16) bidh an router brìgheil a ’faighinn a’ phacaid seo agus a ’co-dhùnadh càite an cuir e air adhart e: tha poileasaidh sgrìobhte aige a rèir am feum e a h-uile pacaid a chuir eadar 192.168.A.0/24 и 192.168.B.0/24 gluasad thairis air ceangal VPN eadar AAA1 и BBB1;
17) bidh an router brìgheil a’ gineadh datagram ESP bho AAA1 airson BBB1;
18) bidh an router brìgheil a’ co-dhùnadh cò dha a chuireas am pasgan seo, ga chuir AAA254 (geata ISP, sa chùis seo, sin sinne cuideachd), oir tha slighean nas sònraichte ann BBB1, na 0.0.0.0/0, chan eil;
19) Bidh solaraichean eadar-lìn a’ sgaoileadh datagram ESP thairis air na lìonraidhean aca le AAA1 air BBB1;
20) router air BBB1 a' faighinn an datagram seo, ga dhì-chrioptachadh agus a' faighinn pacaid bho 192.168.A.1:3389 airson 192.168.B.1:55555;
21) tha e a’ tuigsinn gum bu chòir a ghluasad gu sònraichte 192.168.B.1, leis gu bheil e air an aon lìonra còmhla ris, mar sin, tha inntrig co-fhreagarrach aige anns a’ chlàr seòlaidh, a bheir air pacaidean a chuir airson an iomlan 192.168.B.0/24 dìreach;
22) lorgaidh an router an seòladh MAC airson 192.168.B.1 agus bheir thu dha am paca so ;
23) siostam-obrachaidh air coimpiutair leis an t-seòladh 192.168.B.1 a’ faighinn pasgan bho 192.168.A.1:3389 airson 192.168.B.1:55555 agus a’ tòiseachadh na h-ath cheumannan gus ceangal TCP a stèidheachadh.
Tha an eisimpleir seo gu math pongail agus nas sìmplidhe (agus an seo faodaidh tu cuimhneachadh air dòrlach de mhion-fhiosrachadh eile) ag innse dè thachras aig ìrean 2-4. Chan eilear a’ beachdachadh air ìrean 1, 5-7.
Suidheachadh a dhà
Ma tha le 192.168.B.0/24 tha rudeigin air a chuir gu sònraichte AAA2, chan eil e a’ dol chun VPN, ach gu dìreach. 'S e sin, ma tha an neach-cleachdaidh bhon t-seòladh 192.168.B.1 ath-thagraidhean gu AAA 2: 13389, tha am pasgan seo a 'tighinn bhon t-seòladh BBB1, a' dol seachad AAA2, agus an uairsin bidh an router ga fhaighinn agus ga chuir gu 192.168.A.1. 192.168.A.1 chan eil fios càil mu dheidhinn 192.168.B.1, tha e a 'faicinn pasgan bho BBB1, oir fhuair se e. Mar sin, tha am freagairt don iarrtas seo a 'leantainn an t-slighe choitcheann, tha e a' tighinn bhon t-seòladh san aon dòigh AAA2 agus a' dol gu BBB1, agus bidh an router sin a’ cur am freagairt seo gu 192.168.B.1, tha e a 'faicinn an fhreagairt bho AAA2, ris an do labhair e.
Eisimpleir sònraichte:
1) 192.168.B.1 ath-thagraidhean gu AAA2, ag iarraidh ceangal TCP a stèidheachadh le AAA 2: 13389;
2) 192.168.B.1 a’ cur iarrtas ceangail bho 192.168.B.1:55555 (faodaidh an àireamh seo, mar a tha san eisimpleir roimhe, a bhith eadar-dhealaichte) air adhart AAA 2: 13389;
3) siostam-obrachaidh a tha a 'ruith air coimpiutair leis an t-seòladh 192.168.B.1, a’ co-dhùnadh am pacaid seo a chuir air adhart gu seòladh geata an router (192.168.B.254 nar cùis), oir slighean eile, nas sònraichte airson AAA2, chan eil fear aige, a tha a 'ciallachadh gu bheil e a' toirt seachad a 'phacaid tron t-slighe àbhaisteach (0.0.0.0 / 0);
4) airson seo, mar a thuirt sinn san eisimpleir roimhe, bidh e a’ feuchainn ri seòladh MAC a lorg airson an t-seòladh IP 192.168.B.254 ann an clàr tasgadan protocol ARP. Mura lorgar e, cuiridh e bhon t-seòladh 192.168.B.1 craoladh cò aig a bheil iarrtas chun lìonra 192.168.B.0/24... Cuin 192.168.B.254 mar fhreagairt, bidh e a’ cur a sheòladh MAC thuige, bidh an siostam a’ sgaoileadh pacaid Ethernet air a shon agus a’ cuir a-steach am fiosrachadh seo a-steach don chlàr tasgadan aige;
5) bidh an router a’ faighinn a ’phacaid seo agus a’ co-dhùnadh càite an cuir e air adhart e: tha poileasaidh sgrìobhte aige a rèir am feum e a chuir air adhart (an àite an t-seòlaidh tilleadh) a h-uile pacaid bho 192.168.B.0/24 gu nodan eadar-lìn eile;
6) leis gu bheil am poileasaidh seo a’ ciallachadh gum feum an seòladh tilleadh a bhith co-ionnan ris an t-seòladh ìosal air an eadar-aghaidh tron tèid am pasgan seo a chuir a-mach, bidh an router a’ co-dhùnadh an-toiseach cò dha a chuireas am pasgan seo, agus feumaidh e, mar a bha san eisimpleir roimhe, a chuir. gu BBB254 (geata ISP) leis gu bheil slighean nas sònraichte ann gu AAA2, na 0.0.0.0/0, chan eil;
7) mar sin, bidh an router a’ dol an àite seòladh tilleadh a’ phacaid, mar sin a-mach tha am pacaid bho BBB 1: 44444 (àireamh port, gu dearbh, faodaidh e a bhith eadar-dhealaichte) gu AAA 2: 13389;
8) tha cuimhne aig an router air na rinn e, a tha a’ ciallachadh cuin AAA 2: 13389 к BBB 1: 44444 freagairt a’ ruighinn, bidh fios aige gum bu chòir dha an seòladh ceann-uidhe agus am port atharrachadh gu 192.168.B.1:55555.
9) a-nis bu chòir don router a chuir chun lìonra ISP tro BBB254mar sin, dìreach mar a thuirt sinn mu thràth, lorg e an seòladh MAC airson BBB254 agus a 'toirt seachad a' phacaid gu geata ISP;
10) Bidh solaraichean eadar-lìn a’ toirt seachad pacaidean bho BBB1 air AAA2;
11) router brìgheil air adhart AAA2 a' faighinn a' phacaid seo air port 13389;
12) tha riaghailt ann air an router brìgheil a tha ag òrdachadh gum bu chòir pacaidean a gheibhear bho neach-cuiridh sam bith air a’ phort seo a chuir gu 192.168.A.1:3389;
13) lorgaidh an router brìgheil an lìonra anns a’ chlàr seòlaidh 192.168.A.0/24 agus ga chuir gu dìreach 192.168.A.1 oir tha eadar-aghaidh aige 192.168.A.254/24;
14) airson seo, lorgaidh an router brìgheil an seòladh MAC airson 192.168.A.1 agus a’ cur a’ phacaid seo thuige tro lìonra Ethernet brìgheil;
15) 192.168.A.1 a 'faighinn a' phacaid seo air port 3389, ag aontachadh ceangal a stèidheachadh agus a 'cruthachadh pasgan mar fhreagairt bho 192.168.A.1:3389 air BBB 1: 44444;
16) bidh an siostam aige a’ sgaoileadh a’ phacaid seo gu seòladh geata an router brìgheil (192.168.A.254 nar cùis), oir slighean eile, nas sònraichte airson BBB1, chan eil aige, mar sin, feumaidh e am pasgan a tharraing tron t-slighe àbhaisteach (0.0.0.0/0);
17) dìreach mar a bha e ann an cùisean roimhe, siostam a bhios a’ ruith air frithealaiche leis an t-seòladh 192.168.A.1, lorg an seòladh MAC 192.168.A.254, leis gu bheil e air an aon lìonra leis an eadar-aghaidh aige 192.168.A.1/24;
18) gheibh an router brìgheil a’ phacaid seo. Bu chòir a thoirt fa-near gu bheil cuimhne aige air na fhuair e air adhart AAA 2: 13389 paca bho BBB 1: 44444 agus dh'atharraich e seòladh agus port an neach a fhuair e gu 192.168.A.1:3389, mar sin, a 'phacaid bho 192.168.A.1:3389 airson BBB 1: 44444 bidh e ag atharrachadh seòladh an neach a chuir e AAA 2: 13389;
19) bidh an router brìgheil a’ co-dhùnadh cò dha a chuireas iad a’ phacaid seo, bidh e ga chuir AAA254 (geata ISP, sa chùis seo, sin sinne cuideachd), oir tha slighean nas sònraichte ann BBB1, na 0.0.0.0/0, chan eil;
20) Bidh solaraichean eadar-lìn a’ toirt seachad pasgan le AAA2 air BBB1;
21) router air BBB1 a' faighinn a' phacaid seo agus a' cuimhneachadh sin nuair a chuir e a' phacaid bho 192.168.B.1:55555 airson AAA 2: 13389, dh'atharraich e an seòladh aige agus am port seòlaidh gu BBB 1: 44444, an uairsin is e seo am freagairt a dh’ fheumar a chuir thuige 192.168.B.1:55555 (gu dearbh, tha grunn sgrùdaidhean eile ann, ach chan eil sinn a 'dol a-steach gu domhainn a-steach sin);
22) tha e a 'tuigsinn gum bu chòir a ghluasad gu dìreach 192.168.B.1, leis gu bheil e air an aon lìonra còmhla ris, mar sin, tha inntrig co-fhreagarrach aige anns a’ chlàr seòlaidh, a bheir air pacaidean a chuir airson an iomlan 192.168.B.0/24 dìreach;
23) lorgaidh an router an seòladh MAC airson 192.168.B.1 agus bheir thu dha am paca so ;
24) siostam-obrachaidh air coimpiutair leis an t-seòladh 192.168.B.1 a’ faighinn pasgan bho AAA 2: 13389 airson 192.168.B.1:55555 agus a’ tòiseachadh na h-ath cheumannan gus ceangal TCP a stèidheachadh.
Bu chòir a thoirt fa-near gur ann sa chùis seo a 'choimpiutair leis an t-seòladh 192.168.B.1 chan eil fios aige air an fhrithealaiche leis an t-seòladh 192.168.A.1, chan eil e a’ conaltradh ach ris AAA2. Mar an ceudna, am frithealaiche leis an t-seòladh 192.168.A.1 chan eil fios aige air a’ choimpiutair leis an t-seòladh 192.168.B.1. Tha e den bheachd gun robh e ceangailte bhon t-seòladh BBB1, agus cha'n aithne dha ni air bith eile, mar sin a labhradh.
Bu chòir a thoirt fa-near cuideachd ma thèid an coimpiutair seo a-steach AAA 2: 1540, cha tèid an ceangal a stèidheachadh leis nach eil ceangal air adhart gu port 1540 air a rèiteachadh air an router mas-fhìor, eadhon ged a bhiodh e air frithealaichean sam bith san lìonra mas-fhìor 192.168.A.0/24 (mar eisimpleir, air frithealaiche leis an t-seòladh 192.168.A.1) agus tha cuid de sheirbheisean ann a tha a’ feitheamh ri ceanglaichean air a’ phort seo. Ma tha neach-cleachdaidh coimpiutair le seòladh 192.168.B.1 Tha e deatamach ceangal a stèidheachadh ris an t-seirbheis seo, feumaidh e VPN a chleachdadh, i.e. cuir fios gu dìreach 192.168.A.1:1540.
Bu chòir a thoirt fa-near gu bheil oidhirp sam bith air ceangal a stèidheachadh le AAA1 (ach a-mhàin an ceangal IPSec bhon fhaidhle BBB1 cha bhi soirbheachadh. Oidhirpean sam bith gus ceanglaichean a stèidheachadh le AAA2, ach a-mhàin ceanglaichean gu port 13389, cha bhith iad soirbheachail cuideachd.
Tha sinn cuideachd a’ toirt fa-near ma tha AAA2 Ma tha cuideigin eile a 'buntainn (mar eisimpleir, CCCC), bidh a h-uile dad a tha air a chomharrachadh ann am paragrafan 10-20 a' buntainn ris cuideachd. Tha na thachras ro agus às deidh seo an urra ri dè dìreach a tha air cùl an CCCC seo Chan eil fiosrachadh mar sin againn, agus mar sin tha sinn a’ toirt comhairle dhut bruidhinn ri luchd-rianachd an nód leis an t-seòladh CCCC
Suidheachadh a trì
Agus, air an làimh eile, ma tha 192.168.A.1 tha rudeigin air a chuir gu port air choireigin a tha air a rèiteachadh gus a chuir air adhart a-steach gu BBB1 (mar eisimpleir, 11111), chan eil e cuideachd a’ tighinn gu crìch san VPN, ach dìreach a ’sruthadh bho AAA1 agus thèid e steach BBB1, agus tha e cheana ga thar-chuir an àiteigin a stigh, abair, 192.168.B.2:3389. Tha e a’ faicinn nach ann bho 192.168.A.1, agus bho AAA1. Agus nuair a 192.168.B.2 freagairt, tha am pasgan a’ tighinn bho BBB1 air AAA1, agus nas fhaide air adhart a’ faighinn chun neach-tòiseachaidh ceangail - 192.168.A.1.
Eisimpleir sònraichte:
1) 192.168.A.1 ath-thagraidhean gu BBB1, ag iarraidh ceangal TCP a stèidheachadh le BBB 1: 11111;
2) 192.168.A.1 a’ cur iarrtas ceangail bho 192.168.A.1:55555 (faodaidh an àireamh seo, mar a tha san eisimpleir roimhe, a bhith eadar-dhealaichte) air adhart BBB 1: 11111;
3) siostam obrachaidh a tha a 'ruith air frithealaiche leis an t-seòladh 192.168.A.1, a’ co-dhùnadh am pacaid seo a chuir air adhart gu seòladh geata an router (192.168.A.254 nar cùis), oir slighean eile, nas sònraichte airson BBB1, chan eil aige, mar sin, bidh e a 'toirt seachad a' phacaid tron t-slighe àbhaisteach (0.0.0.0/0);
4) airson seo, mar a thuirt sinn ann an eisimpleirean roimhe, tha e a 'feuchainn ri lorg an MAC seòladh airson an seòladh IP 192.168.A.254 ann an clàr tasgadan protocol ARP. Mura lorgar e, cuiridh e bhon t-seòladh 192.168.A.1 craoladh cò aig a bheil iarrtas chun lìonra 192.168.A.0/24... Cuin 192.168.A.254 mar fhreagairt, bidh e a 'cur a sheòladh MAC thuice, bidh an siostam a' toirt seachad pasgan Ethernet air a shon agus a 'toirt a-steach am fiosrachadh seo a-steach don chlàr tasgadan aige;
5) bidh an router brìgheil a’ faighinn a ’phacaid seo agus a’ co-dhùnadh càite an cuir e air adhart e: tha poileasaidh sgrìobhte aige a rèir am feum e a chuir air adhart (an àite an t-seòlaidh tilleadh) a h-uile pacaid bho 192.168.A.0/24 gu nodan eadar-lìn eile;
6) leis gu bheil am poileasaidh seo a’ gabhail ris gum feum an seòladh tilleadh a bhith co-ionnan ris an t-seòladh ìosal air an eadar-aghaidh tron tèid am pasgan seo a chuir a-mach, bidh an router brìgheil an-toiseach a’ co-dhùnadh cò dha a chuireas am pasgan seo, agus feumaidh e, mar a bha san eisimpleir roimhe, a chuir. e air AAA254 (geata ISP, sa chùis seo, sin sinne cuideachd), oir tha slighean nas sònraichte ann BBB1, na 0.0.0.0/0, chan eil;
7) tha seo a’ ciallachadh gu bheil an router brìgheil a’ dol an àite seòladh tilleadh a’ phacaid, bho seo a-mach is e pacaid a th’ ann bho AAA 1: 44444 (àireamh port, gu dearbh, faodaidh e a bhith eadar-dhealaichte) gu BBB 1: 11111;
8) tha cuimhne aig an router brìgheil air na rinn e, mar sin, cuin a thàinig e BBB 1: 11111 airson AAA 1: 44444 freagairt a’ ruighinn, bidh fios aige gum bu chòir dha an seòladh ceann-uidhe agus am port atharrachadh gu 192.168.A.1:55555.
9) a-nis bu chòir don router brìgheil a chuir chun lìonra ISP tro AAA254, mar sin dìreach mar a thuirt sinn mu thràth, lorg e an seòladh MAC airson AAA254 agus a 'toirt seachad a' phacaid gu geata ISP;
10) Bidh solaraichean eadar-lìn a’ toirt seachad pacaidean bho AAA1 gu BBB1;
11) router air BBB1 a' faighinn a' phacaid seo air port 11111;
12) tha riaghailt ann air an router brìgheil a tha ag òrdachadh gum bu chòir pacaidean a thàinig bho neach-cuiridh sam bith air a’ phort seo a chuir gu 192.168.B.2:3389;
13) lorgaidh an router an lìonra anns a’ chlàr seòlaidh 192.168.B.0/24 agus ga chuir gu dìreach gu 192.168.B.2, oir tha eadar-aghaidh aige 192.168.B.254/24;
14) airson seo, lorgaidh an router brìgheil an seòladh MAC airson 192.168.B.2 agus a’ cur a’ phacaid seo thuige tro lìonra Ethernet brìgheil;
15) 192.168.B.2 a 'faighinn a' phacaid seo air port 3389, ag aontachadh ceangal a stèidheachadh agus a 'cruthachadh pasgan mar fhreagairt bho 192.168.B.2:3389 air AAA 1: 44444;
16) bidh an siostam aige a’ sgaoileadh a’ phacaid seo gu seòladh geata an router (192.168.B.254 nar cùis), oir slighean eile, nas sònraichte airson AAA1, chan eil aige, mar sin, feumaidh e am pasgan a tharraing tron t-slighe àbhaisteach (0.0.0.0/0);
17) san aon dòigh mar ann an cùisean roimhe, siostam a tha a 'ruith air coimpiutair leis an t-seòladh 192.168.B.2, lorg an seòladh MAC 192.168.B.254, leis gu bheil e air an aon lìonra leis an eadar-aghaidh aige 192.168.B.2/24;
18) gheibh an router a’ phacaid seo. Bu chòir a thoirt fa-near gu bheil cuimhne aige air na fhuair e air adhart BBB 1: 11111 paca bho AAA1 agus dh'atharraich e seòladh agus port an neach a fhuair e gu 192.168.B.2:3389, mar sin, a 'phacaid bho 192.168.B.2:3389 airson AAA 1: 44444 bidh e ag atharrachadh seòladh an neach a chuir e BBB 1: 11111;
19) bidh an router a’ co-dhùnadh cò dha a chuireas am pasgan seo. Tha e ga chur gu, ag ràdh, BBB254 (Geata ISP, an dearbh sheòladh air nach eil fios againn), leis nach eil slighean nas sònraichte ann AAA1, na 0.0.0.0/0, chan eil;
20) Bidh solaraichean eadar-lìn a’ toirt seachad pasgan le BBB1 air AAA1;
21) router brìgheil air adhart AAA1 a' faighinn a' phacaid seo agus a' cuimhneachadh sin nuair a chuir e a' phacaid bho 192.168.A.1:55555 airson BBB 1: 11111, dh'atharraich e an seòladh aige agus am port seòlaidh gu AAA 1: 44444. Tha seo a’ ciallachadh gur e seo am freagairt a dh’ fheumar a chuir thuige 192.168.A.1:55555 (gu dearbh, mar a thuirt sinn san eisimpleir roimhe, tha grunn sgrùdaidhean eile ann cuideachd, ach an turas seo chan eil sinn a 'dol a-steach gu doimhneachd leotha);
22) tha e a 'tuigsinn gum bu chòir a ghluasad gu dìreach 192.168.A.1, leis gu bheil e air an aon lìonra leis, tha e a’ ciallachadh gu bheil inntrig co-fhreagarrach aige anns a’ bhòrd stiùiridh a bheir air pacaidean a chuir chun iomlan 192.168.A.0/24 dìreach;
23) lorgaidh an router an seòladh MAC airson 192.168.A.1 agus bheir thu dha am paca so ;
24) siostam-obrachaidh air an fhrithealaiche leis an t-seòladh 192.168.A.1 a’ faighinn pasgan bho BBB 1: 11111 airson 192.168.A.1:55555 agus a’ tòiseachadh na h-ath cheumannan gus ceangal TCP a stèidheachadh.
Dìreach an aon rud ris a 'chùis roimhe, sa chùis seo an fhrithealaiche leis an t-seòladh 192.168.A.1 chan eil fios aige air a’ choimpiutair leis an t-seòladh 192.168.B.1, chan eil e a’ conaltradh ach ris BBB1. Coimpiutair le seòladh 192.168.B.1 chan eil fios aige cuideachd mun t-seirbheisiche leis an t-seòladh 192.168.A.1. Tha e den bheachd gun robh e ceangailte bhon t-seòladh AAA1, agus tha a' chuid eile folaichte uaith.
co-dhùnadh
Seo mar a thachras a h-uile càil airson ceanglaichean taobh a-staigh an tunail VPN eadar oifis an neach-dèiligidh agus àrainneachd na sgòthan, a bharrachd air ceanglaichean taobh a-muigh tunail VPN. Agus ma tha ceist sam bith agad no ma tha feum agad air ar cuideachadh gus fuasgladh fhaighinn air duilgheadasan sgòthan,
Source: www.habr.com