Իրական հոդվածները ծնվում են Տուչայի տեխնիկական աջակցության նամակներից։ Օրինակ, հաճախորդը վերջերս դիմեց մեզ՝ պարզաբանելու խնդրանքով, թե ինչ է տեղի ունենում VPN թունելի ներսում օգտատիրոջ գրասենյակի և ամպային միջավայրի միջև միացումների ժամանակ, ինչպես նաև VPN թունելի դուրս միացումների ժամանակ: Հետևաբար, ստորև բերված ամբողջ տեքստը իրական նամակ է, որը մենք ուղարկել ենք մեր հաճախորդներից մեկին՝ ի պատասխան նրա հարցին: Իհարկե, IP հասցեները փոխվել են՝ հաճախորդին անանուն չհանելու համար։ Բայց, այո, Tucha-ի տեխնիկական աջակցությունն իսկապես հայտնի է իր մանրամասն պատասխաններով և տեղեկատվական նամակներով: 🙂
Իհարկե, մենք հասկանում ենք, որ շատերի համար այս հոդվածը բացահայտում չի լինի։ Բայց քանի որ սկսնակ ադմինիստրատորների հոդվածները ժամանակ առ ժամանակ հայտնվում են Habr-ում, ինչպես նաև քանի որ այս հոդվածը հայտնվել է իրական նամակից իրական հաճախորդին, մենք դեռ կկիսվենք այս տեղեկատվությունը այստեղ: Մեծ է հավանականությունը, որ դա ինչ-որ մեկին օգտակար կլինի։
Հետևաբար, մենք մանրամասն բացատրում ենք, թե ինչ է տեղի ունենում ամպի սերվերի և գրասենյակի միջև, եթե դրանք միացված են կայք-կայք ցանցով: Նկատի ունեցեք, որ որոշ ծառայություններ հասանելի են միայն գրասենյակից, իսկ որոշները հասանելի են ինտերնետի ցանկացած կետից:
Եկեք անմիջապես բացատրենք, թե ինչ էր ուզում մեր հաճախորդը սերվերում 192.168.A.1 դուք կարող եք գալ ցանկացած վայրից RDP-ի միջոցով՝ միանալով AAA2:13389, և այլ ծառայություններից օգտվել միայն գրասենյակից (192.168.B.0/24)միացված է VPN-ի միջոցով: Բացի այդ, հաճախորդը սկզբում այն կազմաձևել էր, որ մեքենան 192.168.B.2 գրասենյակում հնարավոր էր նաև օգտագործել RDP ցանկացած վայրից՝ միանալով BBB1: 11111. Մենք օգնեցինք կազմակերպել IPSec կապերը ամպի և գրասենյակի միջև, և հաճախորդի ՏՏ մասնագետը սկսեց հարցեր տալ, թե ինչ կլինի այս կամ այն դեպքում: Այս բոլոր հարցերին պատասխանելու համար մենք, փաստորեն, նրան գրել ենք այն ամենը, ինչ կարող եք կարդալ ստորև։
Այժմ եկեք նայենք այս գործընթացներին ավելի մանրամասն:
Դիրք մեկ
Երբ ինչ-որ բան ուղարկվում է 192.168.Բ.0/24 в 192.168.Ա.0/24 կամ 192.168.Ա.0/24 в 192.168.Բ.0/24, այն մտնում է VPN: Այսինքն, այս փաթեթը լրացուցիչ կոդավորված է և փոխանցվում է միջև BBB1 и AAA1Սակայն 192.168.A.1 տեսնում է փաթեթը հենց այնտեղից 192.168.B.1. Նրանք կարող են միմյանց հետ շփվել ցանկացած արձանագրության միջոցով: Վերադարձի պատասխանները փոխանցվում են նույն կերպ VPN-ի միջոցով, ինչը նշանակում է, որ փաթեթը 192.168.A.1 համար 192.168.B.1 կուղարկվի որպես ESP datagram-ից AAA1 մասին BBB1, որը երթուղիչը կբացի այդ կողմում, հանի այդ փաթեթը և կուղարկի այն 192.168.B.1 որպես փաթեթ ից 192.168.A.1.
Կոնկրետ օրինակ.
1) 192.168.B.1 դիմում է 192.168.A.1, ցանկանում է TCP կապ հաստատել 192.168.A.1:3389;
2) 192.168.B.1 ուղարկում է միացման հարցում 192.168.B.1:55555 (նա ինքն է ընտրում պորտի համարը հետադարձ կապի համար. այսուհետ մենք կօգտագործենք 55555 թիվը որպես պորտի համարի օրինակ, որը համակարգը ընտրում է TCP կապ ստեղծելիս) 192.168.A.1:3389;
3) օպերացիոն համակարգ, որն աշխատում է հասցեով համակարգչի վրա 192.168.B.1, որոշում է այս փաթեթը փոխանցել երթուղիչի դարպասի հասցեին (192.168.B.254 մեր դեպքում), քանի որ այլ, ավելի կոնկրետ երթուղիների համար 192.168.A.1, այն չունի, հետևաբար, այն փոխանցում է փաթեթը լռելյայն երթուղու միջոցով (0.0.0.0/0);
4) դրա համար այն փորձում է գտնել IP հասցեի MAC հասցեն 192.168.B.254 ARP արձանագրության քեշի աղյուսակում: Եթե այն չի հայտնաբերվել, ուղարկում է հասցեից 192.168.B.1 հեռարձակել, ով ունի հարցումը ցանցին 192.168.Բ.0/24... Երբ 192.168.B.254 ի պատասխան, այն ուղարկում է նրան իր MAC հասցեն, համակարգը փոխանցում է Ethernet փաթեթ նրա համար և մուտքագրում է այդ տեղեկատվությունը իր քեշի աղյուսակում.
5) երթուղիչը ստանում է այս փաթեթը և որոշում, թե որտեղ է այն փոխանցել. այն ունի գրավոր քաղաքականություն, համաձայն որի պետք է ուղարկի բոլոր փաթեթները 192.168.Բ.0/24 и 192.168.Ա.0/24 փոխանցել VPN կապի միջոցով BBB1 и AAA1;
6) երթուղիչը ստեղծում է ESP տվյալների գրամ BBB1 մասին AAA1;
7) երթուղիչը որոշում է, թե ում ուղարկել այս փաթեթը, այն ուղարկում է, ասենք. BBB254 (ISP gateway), քանի որ կան ավելի կոնկրետ երթուղիներ դեպի AAA1, քան 0.0.0.0/0, չունի;
8) ճիշտ այնպես, ինչպես արդեն ասվել է, այն գտնում է MAC հասցեն BBB254 և փաթեթը փոխանցում է ISP gateway-ին;
9) Ինտերնետ պրովայդերները փոխանցում են ESP datagram-ը BBB1 մասին AAA1;
10) վիրտուալ երթուղիչը միացված է AAA1 ստանում է այս datagram-ը, վերծանում է այն և ստանում փաթեթ 192.168.B.1:55555 համար 192.168.A.1:3389;
11) վիրտուալ երթուղիչը ստուգում է, թե ում փոխանցի այն, գտնում է ցանցը երթուղային աղյուսակում 192.168.Ա.0/24 և այն ուղղակիորեն ուղարկում է 192.168.A.1, քանի որ այն ունի ինտերֆեյս 192.168.Ա.254/24;
12) դրա համար վիրտուալ երթուղիչը գտնում է MAC հասցեն 192.168.A.1 և այս փաթեթը փոխանցում է նրան վիրտուալ Ethernet ցանցի միջոցով.
13) 192.168.A.1 ստանում է այս փաթեթը 3389 նավահանգստում, համաձայնում է կապ հաստատել և ստեղծում է փաթեթ՝ ի պատասխան 192.168.A.1:3389 մասին 192.168.B.1:55555;
14) նրա համակարգը փոխանցում է այս փաթեթը վիրտուալ երթուղիչի դարպասի հասցեին (192.168.A.254 մեր դեպքում), քանի որ այլ, ավելի կոնկրետ երթուղիների համար 192.168.B.1, այն չունի, հետևաբար, այն պետք է փոխանցի փաթեթը լռելյայն երթուղու միջոցով (0.0.0.0/0);
15) նույնը, ինչ նախորդ դեպքերում, համակարգ, որն աշխատում է հասցեով սերվերի վրա 192.168.A.1, գտնում է MAC հասցեն 192.168.A.254, քանի որ այն գտնվում է նույն ցանցում իր ինտերֆեյսով 192.168.Ա.1/24;
16) վիրտուալ երթուղիչը ստանում է այս փաթեթը և որոշում, թե որտեղ է այն փոխանցել. այն ունի գրավոր քաղաքականություն, համաձայն որի նա պետք է ուղարկի բոլոր փաթեթները 192.168.Ա.0/24 и 192.168.Բ.0/24 փոխանցել VPN կապի միջոցով AAA1 и BBB1;
17) վիրտուալ երթուղիչը ստեղծում է ESP տվյալների գրամ AAA1 համար BBB1;
18) վիրտուալ երթուղիչը որոշում է, թե ում ուղարկել այս փաթեթը, ուղարկում է այն AAA254 (ISP gateway, այս դեպքում, դա նույնպես մենք ենք), քանի որ կան ավելի կոնկրետ երթուղիներ BBB1, քան 0.0.0.0/0, չունի;
19) Ինտերնետ պրովայդերները փոխանցում են ESP datagram իրենց ցանցերի միջոցով AAA1 մասին BBB1;
20) երթուղիչը միացված է BBB1 ստանում է այս datagram-ը, վերծանում է այն և ստանում փաթեթ 192.168.A.1:3389 համար 192.168.B.1:55555;
21) նա հասկանում է, որ այն պետք է փոխանցվի հատուկ 192.168.B.1, քանի որ նա իր հետ նույն ցանցում է, հետևաբար, նա ունի համապատասխան գրառում երթուղային աղյուսակում, որը ստիպում է նրան փաթեթներ ուղարկել ամբողջ 192.168.Բ.0/24 ուղղակիորեն;
22) երթուղիչը գտնում է MAC հասցեն 192.168.B.1 և նրան հանձնում է այս փաթեթը.
23) օպերացիոն համակարգը համակարգչի վրա հասցեով 192.168.B.1 -ից ստանում է փաթեթ 192.168.A.1:3389 համար 192.168.B.1:55555 և սկսում է հաջորդ քայլերը՝ TCP կապ հաստատելու համար:
Այս օրինակը բավականին հակիրճ և պարզեցված (և այստեղ դուք կարող եք հիշել մի շարք այլ մանրամասներ) նկարագրում է, թե ինչ է տեղի ունենում 2-4 մակարդակներում: 1, 5-7 մակարդակները հաշվի չեն առնվում:
Դիրք երկու
Եթե հետ 192.168.Բ.0/24 ինչ-որ բան ուղարկվում է հատուկ AAA2, այն չի գնում VPN, այլ ուղղակիորեն։ Այսինքն, եթե օգտվողը հասցեից 192.168.B.1 դիմում է AAA2:13389, այս փաթեթը գալիս է հասցեից BBB1, անցնում է AAA2, և այնուհետև երթուղիչը ստանում է այն և փոխանցում 192.168.A.1. 192.168.A.1 ոչինչ չգիտի 192.168.B.1,-ից տեսնում է մի փաթեթ BBB1, քանի որ նա ստացել է նրան: Հետևաբար, այս հարցման պատասխանը հետևում է ընդհանուր երթուղուն, այն նույն կերպ է գալիս հասցեից AAA2 և գնում է BBB1, և այդ երթուղիչը ուղարկում է այս պատասխանը 192.168.B.1,-ից նա տեսնում է պատասխանը AAA2, ում նա դիմեց.
Կոնկրետ օրինակ.
1) 192.168.B.1 դիմում է AAA2, ցանկանում է TCP կապ հաստատել AAA2:13389;
2) 192.168.B.1 ուղարկում է միացման հարցում 192.168.B.1:55555 (այս թիվը, ինչպես նախորդ օրինակում, կարող է տարբեր լինել) միացնել AAA2:13389;
3) օպերացիոն համակարգ, որն աշխատում է հասցեով համակարգչի վրա 192.168.B.1, որոշում է այս փաթեթը փոխանցել երթուղիչի դարպասի հասցեին (192.168.B.254 մեր դեպքում), քանի որ այլ, ավելի կոնկրետ երթուղիների համար AAA2, այն չունի, ինչը նշանակում է, որ այն փոխանցում է փաթեթը լռելյայն երթուղու միջոցով (0.0.0.0/0);
4) դրա համար, ինչպես նշեցինք նախորդ օրինակում, այն փորձում է գտնել IP հասցեի MAC հասցեն 192.168.B.254 ARP արձանագրության քեշի աղյուսակում: Եթե այն չի հայտնաբերվել, ուղարկում է հասցեից 192.168.B.1 հեռարձակել, ով ունի հարցումը ցանցին 192.168.Բ.0/24... Երբ 192.168.B.254 ի պատասխան, այն ուղարկում է նրան իր MAC հասցեն, համակարգը փոխանցում է Ethernet փաթեթ նրա համար և մուտքագրում է այդ տեղեկատվությունը իր քեշի աղյուսակում.
5) երթուղիչը ստանում է այս փաթեթը և որոշում, թե որտեղ է այն փոխանցել. այն ունի գրավոր քաղաքականություն, համաձայն որի նա պետք է փոխանցի (փոխարինի վերադարձի հասցեն) բոլոր փաթեթները. 192.168.Բ.0/24 դեպի այլ ինտերնետային հանգույցներ;
6) քանի որ այս քաղաքականությունը ենթադրում է, որ վերադարձի հասցեն պետք է համապատասխանի ինտերֆեյսի ցածր հասցեին, որի միջոցով այս փաթեթը կփոխանցվի, երթուղիչը նախ որոշում է, թե կոնկրետ ում ուղարկի այս փաթեթը, և նա, ինչպես նախորդ օրինակում, պետք է ուղարկի այն: դեպի BBB254 (ISP gateway), քանի որ կան ավելի կոնկրետ երթուղիներ դեպի AAA2, քան 0.0.0.0/0, չունի;
7) հետևաբար, երթուղիչը փոխարինում է փաթեթի վերադարձի հասցեն, այսուհետ փաթեթը BBB1: 44444 (նավահանգստի համարը, իհարկե, կարող է տարբեր լինել) դեպի AAA2:13389;
8) երթուղիչը հիշում է, թե ինչ է արել, ինչը նշանակում է, թե երբ AAA2:13389 к BBB1: 44444 պատասխանը գալիս է, նա կիմանա, որ պետք է փոխի նպատակակետի հասցեն և նավահանգիստը 192.168.B.1:55555.
9) այժմ երթուղիչը պետք է այն փոխանցի ISP ցանցին միջոցով BBB254հետևաբար, ինչպես արդեն նշեցինք, այն գտնում է MAC հասցեն BBB254 և փաթեթը փոխանցում է ISP gateway-ին;
10) ինտերնետ պրովայդերները փաթեթներ են փոխանցում BBB1 մասին AAA2;
11) վիրտուալ երթուղիչը միացված է AAA2 ստանում է այս փաթեթը 13389 նավահանգստում;
12) վիրտուալ երթուղիչի վրա կա կանոն, որը սահմանում է, որ այս նավահանգստում ցանկացած ուղարկողից ստացված փաթեթները պետք է փոխանցվեն 192.168.A.1:3389;
13) վիրտուալ երթուղիչը գտնում է ցանցը երթուղային աղյուսակում 192.168.Ա.0/24 և ուղղակիորեն ուղարկում է 192.168.Ա.1 քանի որ այն ունի ինտերֆեյս 192.168.Ա.254/24;
14) դրա համար վիրտուալ երթուղիչը գտնում է MAC հասցեն 192.168.A.1 և այս փաթեթը փոխանցում է նրան վիրտուալ Ethernet ցանցի միջոցով.
15) 192.168.A.1 ստանում է այս փաթեթը 3389 նավահանգստում, համաձայնում է կապ հաստատել և ստեղծում է փաթեթ՝ ի պատասխան 192.168.A.1:3389 մասին BBB1: 44444;
16) նրա համակարգը փոխանցում է այս փաթեթը վիրտուալ երթուղիչի դարպասի հասցեին (192.168.A.254 մեր դեպքում), քանի որ այլ, ավելի կոնկրետ երթուղիների համար BBB1, այն չունի, հետևաբար, այն պետք է փոխանցի փաթեթը լռելյայն երթուղու միջոցով (0.0.0.0/0);
17) ճիշտ նույնը, ինչ նախորդ դեպքերում, համակարգ, որն աշխատում է հասցեով սերվերի վրա 192.168.A.1, գտնում է MAC հասցեն 192.168.A.254, քանի որ այն գտնվում է նույն ցանցում իր ինտերֆեյսով 192.168.Ա.1/24;
18) վիրտուալ երթուղիչը ստանում է այս փաթեթը: Նշենք, որ նա հիշում է, թե ինչի վրա է ստացել AAA2:13389 փաթեթից BBB1: 44444 և փոխեց իր ստացողի հասցեն և նավահանգիստը 192.168.A.1:3389, հետևաբար, փաթեթը ից 192.168.A.1:3389 համար BBB1: 44444 այն փոխում է ուղարկողի հասցեն AAA2:13389;
19) վիրտուալ երթուղիչը որոշում է, թե ում ուղարկել այս փաթեթը, այն ուղարկում է այն AAA254 (ISP gateway, այս դեպքում, դա նույնպես մենք ենք), քանի որ կան ավելի կոնկրետ երթուղիներ BBB1, քան 0.0.0.0/0, չունի;
20) ինտերնետ պրովայդերները փոխանցում են փաթեթը AAA2 մասին BBB1;
21) երթուղիչը միացված է BBB1 ստանում է այս փաթեթը և հիշում է, որ երբ ուղարկեց փաթեթը 192.168.B.1:55555 համար AAA2:13389, նա փոխել է իր հասցեն և ուղարկողի պորտը դեպի BBB1: 44444, ապա սա այն պատասխանն է, որին պետք է ուղարկել 192.168.B.1:55555 (իրականում, այնտեղ ևս մի քանի ստուգումներ կան, բայց մենք դրա մեջ չենք խորանում);
22) նա հասկանում է, որ այն պետք է ուղղակիորեն փոխանցվի 192.168.B.1, քանի որ նա իր հետ նույն ցանցում է, հետևաբար, նա ունի համապատասխան գրառում երթուղային աղյուսակում, որը ստիպում է նրան փաթեթներ ուղարկել ամբողջ 192.168.Բ.0/24 ուղղակիորեն;
23) երթուղիչը գտնում է MAC հասցեն 192.168.B.1 և նրան հանձնում է այս փաթեթը.
24) օպերացիոն համակարգը համակարգչի վրա հասցեով 192.168.B.1 -ից ստանում է փաթեթ AAA2:13389 համար 192.168.B.1:55555 և սկսում է հաջորդ քայլերը՝ TCP կապ հաստատելու համար:
Հարկ է նշել, որ այս դեպքում համակարգիչը հասցեով 192.168.B.1 հասցեով սերվերի մասին ոչինչ չգիտի 192.168.A.1, նա միայն շփվում է AAA2. Նմանապես, հասցեով սերվերը 192.168.A.1 հասցեով համակարգչի մասին ոչինչ չգիտի 192.168.B.1. Նա կարծում է, որ իրեն կապել են հասցեից BBB1, և նա, այսպես ասած, այլ բան չգիտի։
Պետք է նաև նշել, որ եթե այս համակարգիչը մուտքի AAA2:1540, կապը չի հաստատվի, քանի որ կապի վերահասցեավորումը դեպի պորտ 1540 կազմաձևված չէ վիրտուալ երթուղիչի վրա, նույնիսկ եթե վիրտուալ ցանցի որևէ սերվերի վրա 192.168.Ա.0/24 (օրինակ՝ հասցեով սերվերի վրա 192.168.A.1) և կան որոշ ծառայություններ, որոնք սպասում են միացման այս նավահանգստում: Եթե հասցե ունեցող համակարգչի օգտատերը 192.168.B.1 Այս ծառայության հետ կապ հաստատելը հրամայական է, այն պետք է օգտագործի VPN, այսինքն. ուղղակիորեն կապվեք 192.168.A.1:1540.
Հարկ է ընդգծել, որ կապ հաստատելու ցանկացած փորձ AAA1 (բացառությամբ IPSec միացումից BBB1 հաջողություն չի ունենա. հետ կապեր հաստատելու ցանկացած փորձ AAA2, բացառությամբ 13389 նավահանգստի միացումների, նույնպես հաջող չի լինի:
Մենք նաև նշում ենք, որ եթե AAA2 Եթե մեկ ուրիշը դիմի (օրինակ՝ CCCC), 10-20 պարբերություններում նշված ամեն ինչ կկիրառվի նաև նրա վրա: Թե ինչ է տեղի ունենում դրանից առաջ և հետո, կախված է նրանից, թե կոնկրետ ինչ է կանգնած այս CCCC-ի հետևում: Մենք նման տեղեկատվություն չունենք, ուստի խորհուրդ ենք տալիս խորհրդակցել հանգույցի ադմինիստրատորների հետ CCCC հասցեով:
Դիրք երրորդ
Եվ, ընդհակառակը, եթե հետ 192.168.A.1 ինչ-որ բան ուղարկվում է ինչ-որ մի նավահանգիստ, որը կազմաձևված է դեպի ներս փոխանցելու համար BBB1 (օրինակ, 11111), այն նույնպես չի հայտնվում VPN-ում, այլ պարզապես հոսում է AAA1 և մտնում է BBB1, և նա դա արդեն փոխանցում է ինչ-որ տեղ, ասենք. 192.168.B.2:3389. Նա տեսնում է այս փաթեթը ոչ թե դրանից 192.168.A.1, բայց AAA1. Եւ երբ 192.168.B.2 պատասխանում է, փաթեթը գալիս է BBB1 մասին AAA1, և ավելի ուշ հասնում է կապի նախաձեռնողին. 192.168.A.1.
Կոնկրետ օրինակ.
1) 192.168.A.1 դիմում է BBB1, ցանկանում է TCP կապ հաստատել BBB1: 11111;
2) 192.168.A.1 ուղարկում է միացման հարցում 192.168.A.1:55555 (այս թիվը, ինչպես նախորդ օրինակում, կարող է տարբեր լինել) միացնել BBB1: 11111;
3) օպերացիոն համակարգ, որն աշխատում է հասցեով սերվերի վրա 192.168.A.1, որոշում է այս փաթեթը փոխանցել երթուղիչի դարպասի հասցեին (192.168.A.254 մեր դեպքում), քանի որ այլ, ավելի կոնկրետ երթուղիների համար BBB1, այն չունի, հետևաբար, այն փոխանցում է փաթեթը լռելյայն երթուղու միջոցով (0.0.0.0/0);
4) դրա համար, ինչպես նշեցինք նախորդ օրինակներում, այն փորձում է գտնել IP հասցեի MAC հասցեն 192.168.A.254 ARP արձանագրության քեշի աղյուսակում: Եթե այն չի հայտնաբերվել, ուղարկում է հասցեից 192.168.A.1 հեռարձակել, ով ունի հարցումը ցանցին 192.168.Ա.0/24... Երբ 192.168.A.254 ի պատասխան, նա ուղարկում է նրան իր MAC հասցեն, համակարգը դրա համար փոխանցում է Ethernet փաթեթ և մուտքագրում է այս տեղեկատվությունը իր քեշի աղյուսակում.
5) վիրտուալ երթուղիչը ստանում է այս փաթեթը և որոշում, թե որտեղ է այն փոխանցել. այն ունի գրավոր քաղաքականություն, համաձայն որի նա պետք է փոխանցի (փոխարինի վերադարձի հասցեն) բոլոր փաթեթները. 192.168.Ա.0/24 դեպի այլ ինտերնետային հանգույցներ;
6) քանի որ այս քաղաքականությունը ենթադրում է, որ վերադարձի հասցեն պետք է համապատասխանի ինտերֆեյսի ցածր հասցեին, որի միջոցով այս փաթեթը կփոխանցվի, վիրտուալ երթուղիչը նախ որոշում է, թե կոնկրետ ում ուղարկի այս փաթեթը, և նա, ինչպես նախորդ օրինակում, պետք է ուղարկի: այն միացված է AAA254 (ISP gateway, այս դեպքում, դա նույնպես մենք ենք), քանի որ կան ավելի կոնկրետ երթուղիներ BBB1, քան 0.0.0.0/0, չունի;
7) սա նշանակում է, որ վիրտուալ երթուղիչը փոխարինում է փաթեթի վերադարձի հասցեն, այսուհետ այն փաթեթ է. AAA1:44444 (նավահանգստի համարը, իհարկե, կարող է տարբեր լինել) դեպի BBB1: 11111;
8) վիրտուալ երթուղիչը հիշում է, թե ինչ է արել, հետևաբար, երբ BBB1: 11111 համար AAA1:44444 պատասխանը գալիս է, նա կիմանա, որ պետք է փոխի նպատակակետի հասցեն և նավահանգիստը 192.168.A.1:55555.
9) այժմ վիրտուալ երթուղիչը պետք է փոխանցի այն ISP ցանցին միջոցով AAA254, այնպես որ, ինչպես արդեն նշեցինք, այն գտնում է MAC հասցեն AAA254 և փաթեթը փոխանցում է ISP gateway-ին;
10) ինտերնետ պրովայդերները փաթեթներ են փոխանցում AAA1-ից մինչև BBB1;
11) երթուղիչը միացված է BBB1 ստանում է այս փաթեթը 11111 նավահանգստում;
12) վիրտուալ երթուղիչի վրա կա մի կանոն, որը սահմանում է, որ փաթեթները, որոնք ժամանել են այս նավահանգստի ցանկացած ուղարկողից, պետք է փոխանցվեն դեպի 192.168.B.2:3389;
13) երթուղիչը գտնում է ցանցը երթուղղման աղյուսակում 192.168.Բ.0/24 և այն ուղղակիորեն ուղարկում է 192.168.B.2, քանի որ այն ունի ինտերֆեյս 192.168.Բ.254/24;
14) դրա համար վիրտուալ երթուղիչը գտնում է MAC հասցեն 192.168.B.2 և այս փաթեթը փոխանցում է նրան վիրտուալ Ethernet ցանցի միջոցով.
15) 192.168.B.2 ստանում է այս փաթեթը 3389 նավահանգստում, համաձայնում է կապ հաստատել և ստեղծում է փաթեթ՝ ի պատասխան 192.168.B.2:3389 մասին AAA1:44444;
16) նրա համակարգը փոխանցում է այս փաթեթը երթուղիչի դարպասի հասցեին (192.168.B.254 մեր դեպքում), քանի որ այլ, ավելի կոնկրետ երթուղիների համար AAA1, այն չունի, հետևաբար, այն պետք է փոխանցի փաթեթը լռելյայն երթուղու միջոցով (0.0.0.0/0);
17) նույն կերպ, ինչպես նախորդ դեպքերում, համակարգ, որն աշխատում է հասցեով համակարգչով 192.168.B.2, գտնում է MAC հասցեն 192.168.B.254, քանի որ այն գտնվում է նույն ցանցում իր ինտերֆեյսով 192.168.Բ.2/24;
18) երթուղիչը ստանում է այս փաթեթը: Նշենք, որ նա հիշում է, թե ինչի վրա է ստացել BBB1: 11111 փաթեթից AAA1 և փոխեց իր ստացողի հասցեն և նավահանգիստը 192.168.B.2:3389, հետևաբար, փաթեթը ից 192.168.B.2:3389 համար AAA1:44444 այն փոխում է ուղարկողի հասցեն BBB1: 11111;
19) երթուղիչը որոշում է, թե ում ուղարկել այս փաթեթը: Նա ուղարկում է այն, ասենք. BBB254 (ISP gateway, որի ճշգրիտ հասցեն մենք չգիտենք), քանի որ դեպի ավելի կոնկրետ երթուղիներ չկան AAA1, քան 0.0.0.0/0, չունի;
20) ինտերնետ պրովայդերները փոխանցում են փաթեթը BBB1 մասին AAA1;
21) վիրտուալ երթուղիչը միացված է AAA1 ստանում է այս փաթեթը և հիշում է, որ երբ ուղարկեց փաթեթը 192.168.A.1:55555 համար BBB1: 11111, նա փոխել է իր հասցեն և ուղարկողի պորտը դեպի AAA1:44444. Սա նշանակում է, որ սա այն պատասխանն է, որին պետք է ուղարկել 192.168.A.1:55555 (իրականում, ինչպես նշեցինք նախորդ օրինակում, կան ևս մի քանի ստուգումներ, բայց այս անգամ մենք չենք խորանում դրանց հետ);
22) նա հասկանում է, որ այն պետք է ուղղակիորեն փոխանցվի 192.168.A.1, քանի որ նա իր հետ նույն ցանցում է, նշանակում է, որ նա ունի համապատասխան գրառում երթուղային աղյուսակում, որը ստիպում է նրան փաթեթներ ուղարկել ամբողջ 192.168.Ա.0/24 ուղղակիորեն;
23) երթուղիչը գտնում է MAC հասցեն 192.168.A.1 և նրան հանձնում է այս փաթեթը.
24) օպերացիոն համակարգը սերվերի վրա հասցեով 192.168.A.1 -ից ստանում է փաթեթ BBB1: 11111-ի համար 192.168.A.1:55555 և սկսում է հաջորդ քայլերը՝ TCP կապ հաստատելու համար:
Ճիշտ նույնը, ինչ նախորդ դեպքում, այս դեպքում սերվերը հասցեով 192.168.A.1 հասցեով համակարգչի մասին ոչինչ չգիտի 192.168.B.1, նա միայն շփվում է BBB1. Համակարգիչ՝ հասցեով 192.168.B.1 Նաև ոչինչ չգիտի հասցեով սերվերի մասին 192.168.A.1. Նա կարծում է, որ իրեն կապել են հասցեից AAA1, իսկ մնացածը թաքնված է նրանից։
Արտադրողականություն
Ահա թե ինչպես է ամեն ինչ տեղի ունենում VPN թունելի ներսում հաճախորդի գրասենյակի և ամպային միջավայրի միջև կապերի համար, ինչպես նաև VPN թունելի սահմաններից դուրս միացումների համար: Եվ եթե հարցեր ունեք կամ մեր օգնության կարիքն ունեք ամպային խնդիրների լուծման համար,
Source: www.habr.com