Valódi cikkek születnek a Tucha technikai támogatásának küldött levelekből. Például egy kliens nemrég megkeresett minket azzal a kéréssel, hogy tisztázzuk, mi történik a VPN-alagúton belüli kapcsolatok során a felhasználó irodája és a felhőkörnyezet között, valamint a VPN-alagúton kívüli kapcsolatok során. Ezért az alábbi teljes szöveg egy tényleges levél, amelyet egyik ügyfelünknek küldtünk válaszként az ő kérdésére. Természetesen az IP-címeket megváltoztattuk, hogy ne mentesítsék a kliens névtelenségét. De igen, a Tucha műszaki támogatása valóban híres részletes válaszairól és informatív e-mailjeiről. 🙂
Természetesen megértjük, hogy sokak számára ez a cikk nem lesz kinyilatkoztatás. De mivel a Habron időnként megjelennek cikkek kezdő rendszergazdáknak, és mivel ez a cikk valódi levélből jelent meg egy valódi ügyfélnek, továbbra is megosztjuk itt ezeket az információkat. Nagy a valószínűsége annak, hogy valakinek hasznos lesz.
Ezért részletesen elmagyarázzuk, mi történik a felhőben lévő szerver és az iroda között, ha helyek közötti hálózaton keresztül kapcsolódnak össze. Ne feledje, hogy egyes szolgáltatások csak az irodából, mások pedig az internet bárhonnan elérhetők.
Azonnal magyarázzuk el, mit akart ügyfelünk a szerveren 192.168.A.1 bárhonnan érkezhetsz RDP-n keresztül, csatlakozva a következőhöz AAA2:13389, és más szolgáltatásokhoz csak az irodából lehet hozzáférni (192.168.B.0/24)VPN-en keresztül csatlakozik. Ezenkívül az ügyfél kezdetben úgy konfigurálta, hogy az autó 192.168.B.2 az irodában az RDP-t is bárhonnan lehetett használni, csatlakozni BBB1:11111. Segítettünk megszervezni az IPSec kapcsolatokat a felhő és az iroda között, és az ügyfél informatikusa kérdezősködni kezdett arról, hogy ebben vagy abban az esetben mi fog történni. Hogy megválaszoljuk ezeket a kérdéseket, tulajdonképpen mindent megírtunk neki, amit alább olvashat.
Most nézzük meg ezeket a folyamatokat részletesebben.
Helyezzen el egyet
Amikor küldenek valamit ahonnan 192.168.B.0/24 в 192.168.A.0/24 vagy a 192.168.A.0/24 в 192.168.B.0/24, bekerül a VPN-be. Ez azt jelenti, hogy ez a csomag emellett titkosítva van, és között továbbítják BBB1 и AAA1De 192.168.A.1 pontosan látja a csomagot 192.168.B.1. Bármilyen protokollal tudnak kommunikálni egymással. A visszáru válaszokat ugyanúgy továbbítják a VPN-en keresztül, ami azt jelenti, hogy a csomagot 192.168.A.1 a 192.168.B.1 a rendszer ESP-datagramként küldi el AAA1 on BBB1, amelyet a router azon az oldalon kibont, kiveszi belőle azt a csomagot és elküldi 192.168.B.1 tól csomagként 192.168.A.1.
Konkrét példa:
1) 192.168.B.1 apellál 192.168.A.1, szeretne TCP kapcsolatot létesíteni a következővel 192.168.A.1:3389;
2) 192.168.B.1 csatlakozási kérelmet küld a címről 192.168.B.1:55555 (a visszajelzéshez ő maga választja ki a portszámot; a továbbiakban az 55555-ös számot használjuk példaként arra a portszámra, amelyet a rendszer kiválaszt a TCP kapcsolat kialakítása során) 192.168.A.1:3389;
3) egy operációs rendszer, amely a címmel rendelkező számítógépen fut 192.168.B.1, úgy dönt, hogy továbbítja ezt a csomagot a router átjáró címére (192.168.B.254 esetünkben), mert más, konkrétabb útvonalak számára 192.168.A.1, nem rendelkezik, ezért az alapértelmezett útvonalon (0.0.0.0/0) továbbítja a csomagot;
4) ehhez megpróbálja megtalálni az IP-cím MAC-címét 192.168.B.254 az ARP protokoll gyorsítótár táblázatában. Ha nem észleli, küld a címről 192.168.B.1 sugározza a kinek van kérését a hálózatnak 192.168.B.0/24. amikor 192.168.B.254 válaszul elküldi neki a MAC címét, a rendszer Ethernet csomagot küld neki, és ezt az információt beírja a cache táblájába;
5) a router fogadja ezt a csomagot, és eldönti, hogy hova továbbítsa: van egy írásos szabályzata, amely szerint minden csomagot el kell küldenie 192.168.B.0/24 и 192.168.A.0/24 közötti VPN-kapcsolaton keresztül BBB1 и AAA1;
6) a router generál egy ESP datagramot BBB1 on AAA1;
7) a router eldönti, hogy kinek küldje el ezt a csomagot, elküldi mondjuk BBB254 (ISP-átjáró), mert vannak konkrétabb útvonalak is AAA1, mint 0.0.0.0/0, nem rendelkezik;
8) pontosan ugyanaz, mint már említettük, megtalálja a MAC-címet BBB254 és továbbítja a csomagot az ISP átjárónak;
9) Az internetszolgáltatók ESP-datagramot továbbítanak innen BBB1 on AAA1;
10) virtuális router bekapcsolva AAA1 fogadja ezt a datagramot, dekódolja és csomagot kap tőle 192.168.B.1:55555 a 192.168.A.1:3389;
11) a virtuális útválasztó ellenőrzi, hogy kinek adja át, megtalálja a hálózatot az útválasztási táblázatban 192.168.A.0/24 és közvetlenül elküldi a címre 192.168.A.1, mert van felülete 192.168.A.254/24;
12) ehhez a virtuális útválasztó megkeresi a MAC-címet 192.168.A.1 és ezt a csomagot egy virtuális Ethernet hálózaton keresztül továbbítja neki;
13) 192.168.A.1 fogadja ezt a csomagot a 3389-es porton, beleegyezik a kapcsolat létrehozásába, és válaszul csomagot generál 192.168.A.1:3389 on 192.168.B.1:55555;
14) rendszere továbbítja ezt a csomagot a virtuális útválasztó átjáró címére (192.168.A.254 esetünkben), mert más, konkrétabb útvonalak számára 192.168.B.1, nem rendelkezik, ezért a csomagot az alapértelmezett útvonalon (0.0.0.0/0) kell továbbítania;
15) ugyanaz, mint a korábbi esetekben, egy rendszer, amely a címmel rendelkező szerveren fut 192.168.A.1, megkeresi a MAC-címet 192.168.A.254, mivel ugyanazon a hálózaton van az interfészével 192.168.A.1/24;
16) a virtuális útválasztó fogadja ezt a csomagot, és eldönti, hogy hova továbbítsa: van egy írott szabályzata, amely szerint minden csomagot el kell küldenie 192.168.A.0/24 и 192.168.B.0/24 közötti VPN-kapcsolaton keresztül AAA1 и BBB1;
17) a virtuális útválasztó ESP-adatgramot generál ebből AAA1 a BBB1;
18) a virtuális útválasztó eldönti, hogy kinek küldje el ezt a csomagot, elküldi AAA254 (jelen esetben az ISP átjárója is mi vagyunk), mert vannak konkrétabb útvonalak is BBB1, mint 0.0.0.0/0, nem rendelkezik;
19) Az internetszolgáltatók ESP-datagramot továbbítanak a hálózatukon keresztül AAA1 on BBB1;
20) router bekapcsolva BBB1 fogadja ezt a datagramot, dekódolja és csomagot kap tőle 192.168.A.1:3389 a 192.168.B.1:55555;
21) megérti, hogy azt kifejezetten ide kell átvinni 192.168.B.1, mivel egy hálózaton van vele, ezért van egy megfelelő bejegyzése az útválasztási táblában, ami arra kényszeríti, hogy csomagokat küldjön a teljes 192.168.B.0/24 közvetlenül;
22) a router megtalálja a MAC-címet 192.168.B.1 és átadja neki ezt a csomagot;
23) operációs rendszer a címmel rendelkező számítógépen 192.168.B.1 csomagot kap tőle 192.168.A.1:3389 a 192.168.B.1:55555 és elindítja a következő lépéseket a TCP kapcsolat létrehozásához.
Ez a példa nagyon tömören és leegyszerűsítve (és itt még egy csomó egyéb részletre is emlékezhet) leírja, mi történik a 2-4. szinten. Az 1., 5-7. szintet nem veszik figyelembe.
Második pozíció
Ha együtt 192.168.B.0/24 valamit kifejezetten erre küldenek AAA2, nem a VPN-hez megy, hanem közvetlenül. Vagyis ha a felhasználó a címről 192.168.B.1 apellál AAA2:13389, ez a csomag a címről származik BBB1, továbbmegy AAA2, majd az útválasztó fogadja és továbbítja a címre 192.168.A.1. 192.168.A.1 nem tud róla semmit 192.168.B.1, meglát egy csomagot BBB1, mert megkapta. Ezért erre a kérésre a válasz az általános útvonalat követi, ugyanúgy a címről érkezik AAA2 és odamegy BBB1, és az útválasztó elküldi ezt a választ 192.168.B.1-tól látja a választ AAA2, akihez szólt.
Konkrét példa:
1) 192.168.B.1 apellál AAA2, szeretne TCP kapcsolatot létesíteni a következővel AAA2:13389;
2) 192.168.B.1 csatlakozási kérelmet küld a címről 192.168.B.1:55555 (ez a szám, akárcsak az előző példában, eltérő lehet) on AAA2:13389;
3) egy operációs rendszer, amely a címmel rendelkező számítógépen fut 192.168.B.1, úgy dönt, hogy továbbítja ezt a csomagot a router átjáró címére (192.168.B.254 esetünkben), mert más, konkrétabb útvonalak számára AAA2, nincs benne, ami azt jelenti, hogy az alapértelmezett útvonalon (0.0.0.0/0) továbbítja a csomagot;
4) ehhez, ahogy az előző példában említettük, megpróbálja megtalálni az IP-cím MAC-címét 192.168.B.254 az ARP protokoll gyorsítótár táblázatában. Ha nem észleli, küld a címről 192.168.B.1 sugározza a kinek van kérését a hálózatnak 192.168.B.0/24. amikor 192.168.B.254 válaszul elküldi neki a MAC címét, a rendszer Ethernet csomagot küld neki, és ezt az információt beírja a cache táblájába;
5) a router megkapja ezt a csomagot és eldönti, hogy hova továbbítsa: van egy írásos szabályzata, amely szerint továbbítania kell (a visszaküldési címet helyettesítve) az összes csomagot 192.168.B.0/24 más internetes csomópontokhoz;
6) mivel ez a házirend azt jelenti, hogy a visszaküldési címnek meg kell egyeznie azon interfész alacsony címével, amelyen keresztül ez a csomag továbbításra kerül, a router először eldönti, hogy pontosan kinek küldje el ezt a csomagot, és az előző példához hasonlóan neki kell elküldenie. nak nek BBB254 (ISP-átjáró), mert vannak konkrétabb útvonalak is AAA2, mint 0.0.0.0/0, nem rendelkezik;
7) ezért a router lecseréli a csomag visszatérési címét, a továbbiakban a csomag innen származik BBB1:44444 (a portszám természetesen eltérő lehet) a AAA2:13389;
8) a router emlékszik arra, hogy mit csinált, ami azt jelenti, hogy mikor AAA2:13389 к BBB1:44444 válasz érkezik, tudni fogja, hogy a célcímet és a portot erre kell módosítania 192.168.B.1:55555.
9) most a routernek továbbítania kell az ISP-hálózatnak ezen keresztül BBB254így, ahogy már említettük, megtalálja a MAC-címet BBB254 és továbbítja a csomagot az ISP átjárónak;
10) Az internetszolgáltatók csomagokat továbbítanak innen BBB1 on AAA2;
11) virtuális router bekapcsolva AAA2 fogadja ezt a csomagot az 13389-es porton;
12) van egy szabály a virtuális útválasztón, amely előírja, hogy az ezen a porton lévő bármely feladótól kapott csomagokat továbbítani kell 192.168.A.1:3389;
13) a virtuális útválasztó megtalálja a hálózatot az útválasztási táblázatban 192.168.A.0/24 és közvetlenül elküldi 192.168.A.1, mert van interfésze 192.168.A.254/24;
14) ehhez a virtuális útválasztó megkeresi a MAC-címet 192.168.A.1 és ezt a csomagot egy virtuális Ethernet hálózaton keresztül továbbítja neki;
15) 192.168.A.1 fogadja ezt a csomagot a 3389-es porton, beleegyezik a kapcsolat létrehozásába, és válaszul csomagot generál 192.168.A.1:3389 on BBB1:44444;
16) rendszere továbbítja ezt a csomagot a virtuális útválasztó átjáró címére (192.168.A.254 esetünkben), mert más, konkrétabb útvonalak számára BBB1, nem rendelkezik, ezért a csomagot az alapértelmezett útvonalon (0.0.0.0/0) kell továbbítania;
17) ugyanúgy, mint a korábbi esetekben, egy rendszer, amely a címmel rendelkező szerveren fut 192.168.A.1, megkeresi a MAC-címet 192.168.A.254, mivel ugyanazon a hálózaton van az interfészével 192.168.A.1/24;
18) a virtuális útválasztó megkapja ezt a csomagot. Meg kell jegyezni, hogy emlékszik arra, amit kapott AAA2:13389 csomag tól BBB1:44444 és a címzett címét és portját erre módosította 192.168.A.1:3389, ezért a csomag tól 192.168.A.1:3389 a BBB1:44444 megváltoztatja a feladó címét AAA2:13389;
19) a virtuális útválasztó eldönti, hogy kinek küldje el ezt a csomagot, elküldi AAA254 (jelen esetben az ISP átjárója is mi vagyunk), mert vannak konkrétabb útvonalak is BBB1, mint 0.0.0.0/0, nem rendelkezik;
20) Az internetszolgáltatók a következővel továbbítanak egy csomagot AAA2 on BBB1;
21) router bekapcsolva BBB1 megkapja ezt a csomagot, és emlékszik rá, amikor elküldte a csomagot 192.168.B.1:55555 a AAA2:13389, megváltoztatta a címét és a feladó portját BBB1:44444, akkor ezt a választ kell elküldeni a címre 192.168.B.1:55555 (sőt, ott van még több ellenőrzés, de ebbe nem megyünk bele);
22) megérti, hogy azt közvetlenül kell továbbítani 192.168.B.1, mivel egy hálózaton van vele, ezért van egy megfelelő bejegyzése az útválasztási táblában, ami arra kényszeríti, hogy csomagokat küldjön a teljes 192.168.B.0/24 közvetlenül;
23) a router megtalálja a MAC-címet 192.168.B.1 és átadja neki ezt a csomagot;
24) operációs rendszer a címmel rendelkező számítógépen 192.168.B.1 csomagot kap tőle AAA2:13389 a 192.168.B.1:55555 és elindítja a következő lépéseket a TCP kapcsolat létrehozásához.
Meg kell jegyezni, hogy ebben az esetben a számítógép a címmel 192.168.B.1 semmit sem tud a címmel rendelkező szerverről 192.168.A.1, csak vele kommunikál AAA2. Hasonlóképpen, a szerver a címmel 192.168.A.1 semmit sem tud a címmel rendelkező számítógépről 192.168.B.1. Úgy véli, hogy a címről kapcsolódtak be BBB1, és úgymond semmi mást nem tud.
Azt is meg kell jegyezni, hogy ha ez a számítógép hozzáfér AAA2:1540, a kapcsolat nem jön létre, mert a kapcsolat továbbítása az 1540-es portra nincs konfigurálva a virtuális útválasztón, még akkor sem, ha a virtuális hálózat bármely kiszolgálóján 192.168.A.0/24 (például a címmel rendelkező szerveren 192.168.A.1), és vannak olyan szolgáltatások, amelyek csatlakozásra várnak ezen a porton. Ha egy számítógép-felhasználó címmel 192.168.B.1 Ehhez a szolgáltatáshoz feltétlenül létre kell hozni a kapcsolatot, VPN-t kell használnia, pl. lépjen kapcsolatba közvetlenül 192.168.A.1:1540.
Hangsúlyozni kell, hogy minden kapcsolat létrehozására irányuló kísérlet AAA1 (kivéve az IPSec-kapcsolatot a BBB1 nem lesz sikeres. Bármilyen kísérlet kapcsolatot létesíteni a AAA2, kivéve az 13389-es porthoz való csatlakozást, szintén nem lesz sikeres.
Azt is megjegyezzük, hogy ha kell AAA2 Ha valaki más jelentkezik (például CCCC), akkor rá is vonatkozik minden, ami a 10-20. Hogy mi történik előtte és utána, az attól függ, hogy pontosan mi áll a CCCC mögött. Ilyen információnk nincs, ezért azt tanácsoljuk, hogy konzultáljon a CCCC címmel rendelkező csomópont adminisztrátoraival.
Harmadik pozíció
És fordítva, ha azzal 192.168.A.1 valamit elküldenek egy olyan portra, amely úgy van beállítva, hogy befelé továbbítsa a BBB1-re (például 11111), az szintén nem a VPN-be kerül, hanem egyszerűen onnan folyik AAA1 és beszáll BBB1, és már továbbítja valahol, mondjuk 192.168.B.2:3389. Ezt a csomagot nem ahonnan látja 192.168.A.1és onnan AAA1. És mikor 192.168.B.2 válaszol, a csomag innen érkezik BBB1 on AAA1, és később eljut a kapcsolat kezdeményezőjéhez - 192.168.A.1.
Konkrét példa:
1) 192.168.A.1 apellál BBB1, szeretne TCP kapcsolatot létesíteni a következővel BBB1:11111;
2) 192.168.A.1 csatlakozási kérelmet küld a címről 192.168.A.1:55555 (ez a szám, akárcsak az előző példában, eltérő lehet) on BBB1:11111;
3) egy operációs rendszer, amely a címmel rendelkező szerveren fut 192.168.A.1, úgy dönt, hogy továbbítja ezt a csomagot a router átjáró címére (192.168.A.254 esetünkben), mert más, konkrétabb útvonalak számára BBB1, nem rendelkezik, ezért az alapértelmezett útvonalon (0.0.0.0/0) továbbítja a csomagot;
4) ehhez, amint azt az előző példákban említettük, megpróbálja megtalálni az IP-cím MAC-címét 192.168.A.254 az ARP protokoll gyorsítótár táblázatában. Ha nem észleli, küld a címről 192.168.A.1 sugározza a kinek van kérését a hálózatnak 192.168.A.0/24. amikor 192.168.A.254 válaszul elküldi neki a MAC-címét, a rendszer egy Ethernet-csomagot küld neki, és ezt az információt beírja a cache-táblájába;
5) a virtuális útválasztó fogadja ezt a csomagot, és eldönti, hogy hova továbbítsa: van egy írott szabályzata, amely szerint továbbítania kell (a visszatérési címet helyettesítve) az összes csomagot 192.168.A.0/24 más internetes csomópontokhoz;
6) mivel ez a házirend feltételezi, hogy a visszaküldési címnek meg kell egyeznie azon interfész alacsony címével, amelyen keresztül ez a csomag továbbításra kerül, a virtuális útválasztó először eldönti, hogy pontosan kinek küldje el ezt a csomagot, és az előző példához hasonlóan neki kell elküldenie. bekapcsolva AAA254 (jelen esetben az ISP átjárója is mi vagyunk), mert vannak konkrétabb útvonalak is BBB1, mint 0.0.0.0/0, nem rendelkezik;
7) ez azt jelenti, hogy a virtuális útválasztó lecseréli a csomag visszatérési címét, mostantól ez egy csomag AAA1:44444 (a portszám természetesen eltérő lehet) a BBB1:11111;
8) a virtuális útválasztó emlékszik arra, hogy mit csinált, ezért mikortól BBB1:11111 a AAA1:44444 válasz érkezik, tudni fogja, hogy a célcímet és a portot erre kell módosítania 192.168.A.1:55555.
9) most a virtuális útválasztónak át kell adnia az internetszolgáltató hálózatának ezen keresztül AAA254, tehát ahogy már említettük, megtalálja a MAC-címet AAA254 és továbbítja a csomagot az ISP átjárónak;
10) Az internetszolgáltatók csomagokat továbbítanak innen AAA1-től BBB1-ig;
11) router bekapcsolva BBB1 fogadja ezt a csomagot az 11111-es porton;
12) van egy szabály a virtuális útválasztón, amely előírja, hogy az ezen a porton lévő bármely feladótól érkező csomagokat továbbítani kell 192.168.B.2:3389;
13) az útválasztó megtalálja a hálózatot az útválasztási táblázatban 192.168.B.0/24 és közvetlenül elküldi a címre 192.168.B.2, mert van felülete 192.168.B.254/24;
14) ehhez a virtuális útválasztó megkeresi a MAC-címet 192.168.B.2 és ezt a csomagot egy virtuális Ethernet hálózaton keresztül továbbítja neki;
15) 192.168.B.2 fogadja ezt a csomagot a 3389-es porton, beleegyezik a kapcsolat létrehozásába, és válaszul csomagot generál 192.168.B.2:3389 on AAA1:44444;
16) rendszere továbbítja ezt a csomagot a router átjáró címére (192.168.B.254 esetünkben), mert más, konkrétabb útvonalak számára AAA1, nem rendelkezik, ezért a csomagot az alapértelmezett útvonalon (0.0.0.0/0) kell továbbítania;
17) a korábbi esetekhez hasonlóan egy olyan rendszer, amely a címmel rendelkező számítógépen fut 192.168.B.2, megkeresi a MAC-címet 192.168.B.254, mivel ugyanazon a hálózaton van az interfészével 192.168.B.2/24;
18) a router megkapja ezt a csomagot. Meg kell jegyezni, hogy emlékszik arra, amit kapott BBB1:11111 csomag tól AAA1 és a címzett címét és portját erre módosította 192.168.B.2:3389, ezért a csomag tól 192.168.B.2:3389 a AAA1:44444 megváltoztatja a feladó címét BBB1:11111;
19) a router dönti el, hogy kinek küldje el ezt a csomagot. Elküldi mondjuk BBB254 (ISP gateway, melynek pontos címét nem ismerjük), mert nincs konkrétabb útvonal AAA1, mint 0.0.0.0/0, nem rendelkezik;
20) Az internetszolgáltatók a következővel továbbítanak egy csomagot BBB1 on AAA1;
21) virtuális router bekapcsolva AAA1 megkapja ezt a csomagot, és emlékszik rá, amikor elküldte a csomagot 192.168.A.1:55555 a BBB1:11111, megváltoztatta a címét és a feladó portját AAA1:44444. Ez azt jelenti, hogy erre a címre kell elküldeni a választ 192.168.A.1:55555 (sőt, ahogy az előző példában is említettük, van még több ellenőrzés is, de ezúttal nem megyünk bele ezekbe);
22) megérti, hogy azt közvetlenül kell továbbítani 192.168.A.1, mivel ugyanazon a hálózaton van vele, ez azt jelenti, hogy van egy megfelelő bejegyzése az útválasztási táblában, amely arra kényszeríti, hogy csomagokat küldjön a teljes 192.168.A.0/24 közvetlenül;
23) a router megtalálja a MAC-címet 192.168.A.1 és átadja neki ezt a csomagot;
24) operációs rendszer a szerveren a címmel 192.168.A.1 csomagot kap tőle BBB1:11111-re 192.168.A.1:55555 és elindítja a következő lépéseket a TCP kapcsolat létrehozásához.
Pontosan ugyanaz, mint az előző esetben, ebben az esetben a szerver a címmel 192.168.A.1 semmit sem tud a címmel rendelkező számítógépről 192.168.B.1, csak vele kommunikál BBB1. Számítógép címmel 192.168.B.1 a címmel rendelkező szerverről sem tud semmit 192.168.A.1. Úgy véli, hogy a címről kapcsolódtak be AAA1, a többi pedig rejtve van előle.
Teljesítmény
Így történik minden a VPN-alagúton belüli kapcsolatoknál az ügyfél iroda és a felhőkörnyezet között, valamint a VPN-alagúton kívüli kapcsolatoknál. És ha bármilyen kérdése van, vagy segítségre van szüksége a felhőproblémák megoldásában,
Forrás: will.com