Raunverulegar greinar eru fæddar úr bréfum til tækniaðstoðar Tucha. Til dæmis leitaði viðskiptavinur nýlega til okkar með beiðni um að skýra hvað gerist við tengingar inni í VPN-göngunum á milli skrifstofu notandans og skýjaumhverfisins, sem og við tengingar utan VPN-gönganna. Þess vegna er allur textinn hér að neðan raunverulegt bréf sem við sendum einum af viðskiptavinum okkar sem svar við spurningu hans. Auðvitað var IP-tölum breytt til að gera viðskiptavininn ekki nafnlausan. En já, tækniaðstoð Tucha er virkilega frægur fyrir ítarleg svör og upplýsandi tölvupóst. 🙂
Auðvitað skiljum við að fyrir marga mun þessi grein ekki vera opinberun. En þar sem greinar fyrir nýliða stjórnendur birtast á Habr af og til, og einnig þar sem þessi grein birtist úr alvöru bréfi til raunverulegs viðskiptavinar, munum við samt deila þessum upplýsingum hér. Það eru miklar líkur á að það nýtist einhverjum.
Þess vegna útskýrum við í smáatriðum hvað gerist á milli netþjónsins í skýinu og skrifstofunnar ef þeir eru tengdir með neti frá vefsvæði til staðar. Athugaðu að sum þjónusta er aðeins aðgengileg frá skrifstofunni og önnur er aðgengileg hvar sem er á netinu.
Leyfðu okkur að útskýra strax hvað viðskiptavinur okkar vildi á þjóninum 192.168.A.1 þú gætir komið hvaðan sem er í gegnum RDP og tengst AAA2:13389, og aðgangur að annarri þjónustu eingöngu frá skrifstofunni (192.168.B.0/24)tengdur í gegnum VPN. Einnig hafði viðskiptavinurinn upphaflega stillt það að bíllinn 192.168.B.2 á skrifstofunni var líka hægt að nota RDP hvar sem er, tengja við BBB1:11111. Við aðstoðuðum við að skipuleggja IPSec tengingar milli skýsins og skrifstofunnar og upplýsingatæknisérfræðingur viðskiptavinarins fór að spyrja spurninga um hvað myndi gerast í þessu eða hinu tilviki. Til að svara öllum þessum spurningum skrifuðum við honum í raun allt sem þú getur lesið hér að neðan.
Nú skulum við skoða þessi ferli nánar.
Staða eitt
Þegar eitthvað er sent frá 192.168.B.0/24 в 192.168.A.0/24 eða frá 192.168.A.0/24 в 192.168.B.0/24, það kemst inn í VPN. Það er, þessi pakki er að auki dulkóðaður og sendur á milli BBB1 и AAA1En 192.168.A.1 sér pakkann nákvæmlega frá 192.168.B.1. Þeir geta átt samskipti sín á milli með því að nota hvaða samskiptareglur sem er. Skila svör eru send á sama hátt í gegnum VPN, sem þýðir að pakkinn frá 192.168.A.1 í 192.168.B.1 verður sent sem ESP datagram frá AAA1 á BBB1, sem leiðin mun brjóta upp á þeirri hlið, taka pakkann úr honum og senda hann til 192.168.B.1 sem pakki frá 192.168.A.1.
Sérstakt dæmi:
1) 192.168.B.1 höfðar til 192.168.A.1, vill koma á TCP tengingu við 192.168.A.1:3389;
2) 192.168.B.1 sendir tengingarbeiðni frá 192.168.B.1:55555 (hann velur sjálfur portnúmerið fyrir endurgjöf; hér eftir munum við nota númerið 55555 sem dæmi um portnúmerið sem kerfið velur þegar TCP-tenging er mynduð) á 192.168.A.1:3389;
3) stýrikerfi sem keyrir á tölvu með heimilisfanginu 192.168.B.1, ákveður að senda þennan pakka á netfang gáttar beinisins (192.168.B.254 í okkar tilviki), vegna þess að aðrar, sértækari leiðir fyrir 192.168.A.1, það hefur ekki, þess vegna sendir það pakkann í gegnum sjálfgefna leið (0.0.0.0/0);
4) fyrir þetta reynir það að finna MAC vistfangið fyrir IP töluna 192.168.B.254 í ARP samskiptareglur skyndiminni töflunni. Ef það er ekki greint, sendir frá heimilisfanginu 192.168.B.1 útvarpa hver hefur beiðni til netsins 192.168.B.0/24. Hvenær 192.168.B.254 sem svar sendir það MAC vistfangið sitt, kerfið sendir Ethernet pakka fyrir það og setur þessar upplýsingar inn í skyndiminni töfluna;
5) beininn tekur við þessum pakka og ákveður hvert hann á að senda hann: hann hefur skriflega stefnu samkvæmt því að hann verður að senda alla pakka milli kl. 192.168.B.0/24 и 192.168.A.0/24 flytja yfir VPN tengingu á milli BBB1 и AAA1;
6) leiðin býr til ESP gagnagram frá BBB1 á AAA1;
7) leiðin ákveður til hvers á að senda þennan pakka, hann sendir hann til, segjum, BBB254 (ISP gátt) vegna þess að það eru sértækari leiðir til AAA1, en 0.0.0.0/0, það hefur ekki;
8) nákvæmlega það sama og áður hefur verið sagt, það finnur MAC vistfangið fyrir BBB254 og sendir pakkann til ISP gáttarinnar;
9) Netveitur senda ESP gagnagram frá BBB1 á AAA1;
10) Kveikt á sýndarbeini AAA1 tekur við þessu gagnagrammi, afkóðar það og tekur á móti pakka frá 192.168.B.1:55555 í 192.168.A.1:3389;
11) sýndarbeininn athugar hvern á að senda hann til, finnur netið í leiðartöflunni 192.168.A.0/24 og sendir beint á 192.168.A.1, vegna þess að það hefur viðmót 192.168.A.254/24;
12) fyrir þetta finnur sýndarbeini MAC vistfangið fyrir 192.168.A.1 og sendir þennan pakka til hans í gegnum sýndar Ethernet net;
13) 192.168.A.1 tekur á móti þessum pakka á höfn 3389, samþykkir að koma á tengingu og býr til pakka sem svar frá 192.168.A.1:3389 á 192.168.B.1:55555;
14) kerfið hans sendir þennan pakka á gáttarvistfang sýndarbeins (192.168.A.254 í okkar tilviki), vegna þess að aðrar, sértækari leiðir fyrir 192.168.B.1, það hefur það ekki, þess vegna verður það að senda pakkann í gegnum sjálfgefna leið (0.0.0.0/0);
15) sama og í fyrri tilvikum, kerfi sem keyrir á netþjóni með heimilisfangið 192.168.A.1, finnur MAC vistfangið 192.168.A.254, þar sem það er á sama neti með viðmótinu 192.168.A.1/24;
16) sýndarbein tekur við þessum pakka og ákveður hvert hann á að senda hann: hann hefur skriflega stefnu samkvæmt því að hann verður að senda alla pakka milli kl. 192.168.A.0/24 и 192.168.B.0/24 flytja yfir VPN tengingu á milli AAA1 и BBB1;
17) sýndarleiðin býr til ESP gagnagram frá AAA1 í BBB1;
18) sýndarleiðin ákveður til hvers á að senda þennan pakka, sendir hann til AAA254 (ISP gátt, í þessu tilfelli, það erum við líka), vegna þess að það eru sértækari leiðir til BBB1, en 0.0.0.0/0, það hefur ekki;
19) Netveitur senda ESP gagnaskrá yfir net sín með AAA1 á BBB1;
20) Kveikt á beini BBB1 tekur við þessu gagnagrammi, afkóðar það og tekur á móti pakka frá 192.168.A.1:3389 í 192.168.B.1:55555;
21) skilur hann að það ætti að flytja sérstaklega til 192.168.B.1, þar sem hann er á sama neti með honum, hefur hann samsvarandi færslu í leiðartöflunni, sem neyðir hann til að senda pakka fyrir allt 192.168.B.0/24 Beint;
22) leiðin finnur MAC vistfangið fyrir 192.168.B.1 og réttir honum þennan pakka;
23) stýrikerfi á tölvu með heimilisfanginu 192.168.B.1 fær pakka frá 192.168.A.1:3389 í 192.168.B.1:55555 og hefja næstu skref til að koma á TCP tengingu.
Þetta dæmi alveg hnitmiðað og á einfaldan hátt (og hér geturðu muna fullt af öðrum smáatriðum) lýsir því sem gerist á stigum 2-4. Stig 1, 5-7 koma ekki til greina.
Staða tvö
Ef með 192.168.B.0/24 eitthvað er sent sérstaklega til AAA2, það fer ekki í VPN, heldur beint. Það er, ef notandinn frá heimilisfanginu 192.168.B.1 höfðar til AAA2:13389, þessi pakki kemur frá heimilisfanginu BBB1, heldur áfram AAA2, og þá tekur routerinn það og sendir það til 192.168.A.1. 192.168.A.1 veit ekkert um 192.168.B.1, hann sér pakka frá BBB1, því hann fékk hann. Því fylgir svarið við þessari beiðni almennri leið, það kemur frá heimilisfanginu á sama hátt AAA2 og fer til BBB1, og þessi leið sendir þetta svar til 192.168.B.1, sér hann svarið frá AAA2, sem hann beindi til.
Sérstakt dæmi:
1) 192.168.B.1 höfðar til AAA2, vill koma á TCP tengingu við AAA2:13389;
2) 192.168.B.1 sendir tengingarbeiðni frá 192.168.B.1:55555 (þessi tala, eins og í fyrra dæmi, getur verið önnur) á AAA2:13389;
3) stýrikerfi sem keyrir á tölvu með heimilisfanginu 192.168.B.1, ákveður að senda þennan pakka á netfang gáttar beinisins (192.168.B.254 í okkar tilviki), vegna þess að aðrar, sértækari leiðir fyrir AAA2, það hefur ekki einn, sem þýðir að það sendir pakkann í gegnum sjálfgefna leið (0.0.0.0/0);
4) fyrir þetta, eins og við nefndum í fyrra dæmi, reynir það að finna MAC vistfangið fyrir IP töluna 192.168.B.254 í ARP samskiptareglur skyndiminni töflunni. Ef það er ekki greint, sendir frá heimilisfanginu 192.168.B.1 útvarpa hver hefur beiðni til netsins 192.168.B.0/24. Hvenær 192.168.B.254 sem svar sendir það MAC vistfangið sitt, kerfið sendir Ethernet pakka fyrir það og setur þessar upplýsingar inn í skyndiminni töfluna;
5) leiðin tekur á móti þessum pakka og ákveður hvert hann á að senda hann: hann hefur skriflega stefnu í samræmi við það að hann verður að framsenda (skipta um skila heimilisfang) alla pakka frá 192.168.B.0/24 til annarra nethnúta;
6) þar sem þessi stefna felur í sér að skilavistfangið verður að passa við lága heimilisfangið á viðmótinu sem þessi pakki verður sendur í gegnum, ákveður beininn fyrst til hvers hann á að senda þennan pakka nákvæmlega og hann, eins og í fyrra dæmi, verður að senda hann til BBB254 (ISP gátt) vegna þess að það eru sértækari leiðir til AAA2, en 0.0.0.0/0, það hefur ekki;
7) því kemur beininn í stað endursendingarfangs pakkans, héðan í frá er pakkinn frá BBB1:44444 (gáttarnúmer getur auðvitað verið annað) til AAA2:13389;
8) leiðin man hvað hann gerði, sem þýðir hvenær AAA2:13389 к BBB1:44444 svar berst, mun hann vita að hann ætti að breyta áfangastað og höfn í 192.168.B.1:55555.
9) nú ætti routerinn að senda hann til ISP netsins í gegnum BBB254þess vegna, eins og við höfum áður getið, finnur það MAC vistfangið fyrir BBB254 og sendir pakkann til ISP gáttarinnar;
10) Netveitur senda pakka frá BBB1 á AAA2;
11) Kveikt á sýndarbeini AAA2 tekur við þessum pakka á höfn 13389;
12) það er regla á sýndarbeini sem kveður á um að pakkar sem berast frá hvaða sendanda sem er á þessari höfn skuli senda til 192.168.A.1:3389;
13) sýndarleiðin finnur netið í leiðartöflunni 192.168.A.0/24 og sendir það beint 192.168.A.1 vegna þess að það hefur viðmót 192.168.A.254/24;
14) fyrir þetta finnur sýndarbeini MAC vistfangið fyrir 192.168.A.1 og sendir þennan pakka til hans í gegnum sýndar Ethernet net;
15) 192.168.A.1 tekur á móti þessum pakka á höfn 3389, samþykkir að koma á tengingu og býr til pakka sem svar frá 192.168.A.1:3389 á BBB1:44444;
16) kerfið hans sendir þennan pakka á gáttarvistfang sýndarbeins (192.168.A.254 í okkar tilviki), vegna þess að aðrar, sértækari leiðir fyrir BBB1, það hefur það ekki, þess vegna verður það að senda pakkann í gegnum sjálfgefna leið (0.0.0.0/0);
17) á sama hátt og í fyrri tilvikum, kerfi sem keyrir á netþjóni með heimilisfanginu 192.168.A.1, finnur MAC vistfangið 192.168.A.254, þar sem það er á sama neti með viðmótinu 192.168.A.1/24;
18) sýndarleiðin tekur við þessum pakka. Það skal tekið fram að hann man hvað hann fékk á sig AAA2:13389 pakki frá BBB1:44444 og breytti heimilisfangi og höfn viðtakanda síns í 192.168.A.1:3389, því pakkinn frá 192.168.A.1:3389 í BBB1:44444 það breytir heimilisfangi sendanda í AAA2:13389;
19) sýndarbeininn ákveður til hvers á að senda þennan pakka, hann sendir hann til AAA254 (ISP gátt, í þessu tilfelli, það erum við líka), vegna þess að það eru sértækari leiðir til BBB1, en 0.0.0.0/0, það hefur ekki;
20) Netveitur senda pakka með AAA2 á BBB1;
21) Kveikt á beini BBB1 fær þennan pakka og man eftir því þegar hann sendi pakkann frá 192.168.B.1:55555 í AAA2:13389, breytti hann heimilisfangi sínu og sendandagátt í BBB1:44444, þá er þetta svarið sem þarf að senda til 192.168.B.1:55555 (reyndar eru nokkrar fleiri athuganir þar, en við förum ekki djúpt í það);
22) hann skilur að það ætti að senda beint til 192.168.B.1, þar sem hann er á sama neti með honum, hefur hann samsvarandi færslu í leiðartöflunni, sem neyðir hann til að senda pakka fyrir allt 192.168.B.0/24 Beint;
23) leiðin finnur MAC vistfangið fyrir 192.168.B.1 og réttir honum þennan pakka;
24) stýrikerfi á tölvu með heimilisfanginu 192.168.B.1 fær pakka frá AAA2:13389 í 192.168.B.1:55555 og hefja næstu skref til að koma á TCP tengingu.
Það skal tekið fram að í þessu tilviki er tölvan með heimilisfangið 192.168.B.1 veit ekkert um serverinn með heimilisfanginu 192.168.A.1, hann hefur aðeins samskipti við AAA2. Sömuleiðis þjónninn með heimilisfangið 192.168.A.1 veit ekkert um tölvuna með heimilisfanginu 192.168.B.1. Hann telur að hann hafi verið tengdur frá heimilisfanginu BBB1, og hann veit ekkert annað, ef svo má að orði komast.
Það skal líka tekið fram að ef þessi tölva opnar AAA2:1540, tengingin verður ekki komin á vegna þess að tengingarframsending á gátt 1540 er ekki stillt á sýndarbeini, jafnvel þótt á einhverjum netþjónum í sýndarnetinu 192.168.A.0/24 (til dæmis á netþjóni með heimilisfangið 192.168.A.1) og það eru nokkrar þjónustur sem bíða eftir tengingum á þessari höfn. Ef tölvunotandi með heimilisfang 192.168.B.1 Það er brýnt að koma á tengingu við þessa þjónustu, hún verður að nota VPN, þ.e. hafðu samband beint 192.168.A.1:1540.
Rétt er að undirstrika að allar tilraunir til að koma á tengslum við AAA1 (fyrir utan IPSec tenginguna frá BBB1 mun ekki ná árangri. Allar tilraunir til að koma á tengslum við AAA2, nema tengingar við höfn 13389, munu heldur ekki ganga upp.
Við tökum líka fram að ef að AAA2 Ef einhver annar sækir um (td CCCC) mun allt sem tilgreint er í liðum 10-20 eiga við um hann líka. Hvað gerist fyrir og eftir þetta fer eftir því hvað nákvæmlega er á bak við þetta CCCC Við höfum ekki slíkar upplýsingar, svo við ráðleggjum þér að hafa samband við stjórnendur hnútsins með CCCC heimilisfangið
Staða þrjú
Og öfugt, ef með 192.168.A.1 eitthvað er sent í einhverja höfn sem er stillt til að áframsenda inn á BBB1 (til dæmis 11111), það endar heldur ekki í VPN, heldur rennur einfaldlega frá AAA1 og kemst inn BBB1, og hann sendir það nú þegar einhvers staðar í, segjum, 192.168.B.2:3389. Hann sér þennan pakka ekki frá 192.168.A.1, en AAA1. Og hvenær 192.168.B.2 svarar, pakkinn kemur frá BBB1 á AAA1, og kemst síðar að upphafsmanni tengingarinnar - 192.168.A.1.
Sérstakt dæmi:
1) 192.168.A.1 höfðar til BBB1, vill koma á TCP tengingu við BBB1:11111;
2) 192.168.A.1 sendir tengingarbeiðni frá 192.168.A.1:55555 (þessi tala, eins og í fyrra dæmi, getur verið önnur) á BBB1:11111;
3) stýrikerfi sem keyrir á netþjóni með heimilisfanginu 192.168.A.1, ákveður að senda þennan pakka á netfang gáttar beinisins (192.168.A.254 í okkar tilviki), vegna þess að aðrar, sértækari leiðir fyrir BBB1, það hefur ekki, þess vegna sendir það pakkann í gegnum sjálfgefna leið (0.0.0.0/0);
4) fyrir þetta, eins og við nefndum í fyrri dæmum, reynir það að finna MAC vistfangið fyrir IP töluna 192.168.A.254 í ARP samskiptareglur skyndiminni töflunni. Ef það er ekki greint, sendir frá heimilisfanginu 192.168.A.1 útvarpa hver hefur beiðni til netsins 192.168.A.0/24. Hvenær 192.168.A.254 sem svar sendir hann henni MAC vistfangið sitt, kerfið sendir Ethernet pakka fyrir það og setur þessar upplýsingar inn í skyndiminni töfluna;
5) sýndarbeininn tekur á móti þessum pakka og ákveður hvert hann á að senda hann: hann hefur skriflega stefnu í samræmi við það að hann verður að senda (skipta um skila heimilisfang) alla pakka frá 192.168.A.0/24 til annarra nethnúta;
6) þar sem þessi stefna gerir ráð fyrir því að skilavistfangið verði að passa við lága heimilisfangið á viðmótinu sem þessi pakki verður sendur um, þá ákveður sýndarbeininn fyrst til hvers hann á að senda þennan pakka nákvæmlega og hann, eins og í fyrra dæmi, verður að senda það á AAA254 (ISP gátt, í þessu tilfelli, það erum við líka), vegna þess að það eru sértækari leiðir til BBB1, en 0.0.0.0/0, það hefur ekki;
7) þetta þýðir að sýndarbeini kemur í stað skilavistfangs pakkans, héðan í frá er það pakki frá AAA1:44444 (gáttarnúmer getur auðvitað verið annað) til BBB1:11111;
8) sýndarleiðin man hvað hann gerði, því hvenær frá BBB1:11111 í AAA1:44444 svar berst, mun hann vita að hann ætti að breyta áfangastað og höfn í 192.168.A.1:55555.
9) nú ætti sýndarbeininn að senda hann til ISP netsins í gegnum AAA254, svo rétt eins og við höfum áður getið, finnur það MAC vistfangið fyrir AAA254 og sendir pakkann til ISP gáttarinnar;
10) Netveitur senda pakka frá AAA1 til BBB1;
11) Kveikt á beini BBB1 tekur við þessum pakka á höfn 11111;
12) það er regla á sýndarbeini sem kveður á um að pakkar sem bárust frá hvaða sendanda sem er á þessari höfn skuli senda til 192.168.B.2:3389;
13) leiðin finnur netið í leiðartöflunni 192.168.B.0/24 og sendir beint á 192.168.B.2, vegna þess að það hefur viðmót 192.168.B.254/24;
14) fyrir þetta finnur sýndarbeini MAC vistfangið fyrir 192.168.B.2 og sendir þennan pakka til hans í gegnum sýndar Ethernet net;
15) 192.168.B.2 tekur á móti þessum pakka á höfn 3389, samþykkir að koma á tengingu og býr til pakka sem svar frá 192.168.B.2:3389 á AAA1:44444;
16) kerfið hans sendir þennan pakka á netfang beinisins (192.168.B.254 í okkar tilviki), vegna þess að aðrar, sértækari leiðir fyrir AAA1, það hefur það ekki, þess vegna verður það að senda pakkann í gegnum sjálfgefna leið (0.0.0.0/0);
17) á sama hátt og í fyrri tilvikum, kerfi sem keyrir á tölvu með heimilisfanginu 192.168.B.2, finnur MAC vistfangið 192.168.B.254, þar sem það er á sama neti með viðmótinu 192.168.B.2/24;
18) leiðin fær þennan pakka. Það skal tekið fram að hann man hvað hann fékk á sig BBB1:11111 pakki frá AAA1 og breytti heimilisfangi og höfn viðtakanda síns í 192.168.B.2:3389, því pakkinn frá 192.168.B.2:3389 í AAA1:44444 það breytir heimilisfangi sendanda í BBB1:11111;
19) leiðin ákveður til hvers á að senda þennan pakka. Hann sendir það til, segðu, BBB254 (ISP gátt, nákvæmlega heimilisfangið sem við vitum ekki), vegna þess að það eru engar sérstakar leiðir til AAA1, en 0.0.0.0/0, það hefur ekki;
20) Netveitur senda pakka með BBB1 á AAA1;
21) Kveikt á sýndarbeini AAA1 fær þennan pakka og man eftir því þegar hann sendi pakkann frá 192.168.A.1:55555 í BBB1:11111, breytti hann heimilisfangi sínu og sendandagátt í AAA1:44444. Þetta þýðir að þetta er svarið sem þarf að senda til 192.168.A.1:55555 (reyndar, eins og við nefndum í fyrra dæminu, þá eru líka nokkrir fleiri athuganir, en í þetta skiptið förum við ekki í dýpt með þær);
22) hann skilur að það ætti að senda beint til 192.168.A.1, þar sem hann er á sama neti með honum þýðir það að hann er með samsvarandi færslu í leiðartöflunni sem neyðir hann til að senda pakka til alls 192.168.A.0/24 Beint;
23) leiðin finnur MAC vistfangið fyrir 192.168.A.1 og réttir honum þennan pakka;
24) stýrikerfi á þjóninum með heimilisfanginu 192.168.A.1 fær pakka frá BBB1:11111 fyrir 192.168.A.1:55555 og hefja næstu skref til að koma á TCP tengingu.
Nákvæmlega það sama og í fyrra tilvikinu, í þessu tilviki þjónninn með heimilisfangið 192.168.A.1 veit ekkert um tölvuna með heimilisfanginu 192.168.B.1, hann hefur aðeins samskipti við BBB1. Tölva með heimilisfangi 192.168.B.1 veit líka ekkert um serverinn með heimilisfanginu 192.168.A.1. Hann telur að hann hafi verið tengdur frá heimilisfanginu AAA1, og restin er honum hulin.
Output
Svona gerist allt fyrir tengingar inni í VPN göngunum milli skrifstofu viðskiptavinarins og skýjaumhverfisins, sem og fyrir tengingar utan VPN göngin. Og ef þú hefur einhverjar spurningar eða þarft hjálp okkar við að leysa skýjavandamál,
Heimild: www.habr.com