🥇VPN トンネルの内側と外側に接続するとどうなるか

実際の記事は Tucha テクニカルサポートへの手紙から生まれます。たとえば、最近クライアントから、ユーザーのオフィスとクラウド環境の間の VPN トンネル内での接続中、および VPN トンネル外での接続中に何が起こるかを明確にしてほしいという要望が寄せられました。したがって、以下の全文は、あるクライアントの質問に応えて当社がそのクライアントに送った実際の手紙です。もちろん、クライアントの匿名性が損なわれないように、IP アドレスは変更されました。しかし、はい、Tucha テクニカルサポートは、詳細な回答と有益な電子メールで非常に有名です。 🙂

もちろん、多くの人にとってこの記事が啓示ではないことは理解しています。ただし、初心者管理者向けの記事が Habr に時々掲載されており、またこの記事は実際のクライアントへの実際の手紙から掲載されたものであるため、この情報をここで共有します。誰かの役に立つ可能性が高いです。
そこで、クラウド上のサーバーとオフィスが拠点間ネットワークで接続されている場合に何が起こるかを詳しく説明します。一部のサービスはオフィスからのみアクセスでき、一部のサービスはインターネット上のどこからでもアクセスできることに注意してください。

クライアントがサーバーに何を望んでいるのかをすぐに説明しましょう 192.168.A.1 RDP 経由でどこからでも接続でき、 AAA2:13389、その他のサービスにはオフィスからのみアクセスできます (192.168.B.0/24)VPN経由で接続されています。また、クライアントは当初、車が 192.168.B.2 オフィスでは、どこからでも RDP を使用して、 BBB1:11111。私たちは、クラウドとオフィス間の IPSec 接続の整理を支援しました。そして、顧客の IT スペシャリストは、この場合、またはその場合に何が起こるかについて質問をし始めました。これらすべての質問に答えるために、私たちは実際、以下に読むことができるすべてのことを彼に書きました。

ここで、これらのプロセスをさらに詳しく見てみましょう。

ポジション XNUMX

から何かが送信されるとき 192.168.B.0/24 в 192.168.A.0/24 またはから 192.168.A.0/24 в 192.168.B.0/24、VPNに入ります。つまり、このパケットはさらに暗号化されて、次の間で送信されます。 BBB1 и AAA1しかし 192.168.A.1 パッケージを正確に参照します 192.168.B.1。これらは、任意のプロトコルを使用して相互に通信できます。返信された応答は、VPN 経由で同様に送信されます。つまり、からのパケットは、 192.168.A.1 のために 192.168.B.1 から ESP データグラムとして送信されます AAA1 на BBB1、ルーターがその側で展開し、そこからパケットを取り出して送信します 192.168.B.1 からのパッケージとして 192.168.A.1.

具体例：

1) 192.168.B.1 に訴える 192.168.A.1、との TCP 接続を確立したいと考えています。 192.168.A.1:3389;

2) 192.168.B.1 ～から接続リクエストを送信します 192.168.B.1:55555 (フィードバック用のポート番号を自分で選択します。以下、TCP 接続を形成するときにシステムが選択するポート番号の例として 55555 という番号を使用します) 192.168.A.1:3389;

3) このアドレスを持つコンピュータ上で実行されるオペレーティングシステム 192.168.B.1、このパケットをルーターのゲートウェイアドレスに転送することを決定します (192.168.B.254 私たちの場合）、他のより具体的なルートがあるため、 192.168.A.1がないため、デフォルトルート (0.0.0.0/0) 経由でパケットを送信します。

4) このために、IP アドレスの MAC アドレスを見つけようとします。 192.168.B.254 ARP プロトコルキャッシュテーブル内。検出されない場合はそのアドレスから送信 192.168.B.1 誰がリクエストを持っているかをネットワークにブロードキャストする 192.168.B.0/24。いつ 192.168.B.254 応答として、システムはその MAC アドレスを送信し、システムはそのためにイーサネットパケットを送信し、この情報をキャッシュテーブルに入力します。

5) ルーターはこのパケットを受信し、どこに転送するかを決定します。ルーターには、すべてのパケットを送信する必要があるという書面化されたポリシーがあります。 192.168.B.0/24 и 192.168.A.0/24 間での VPN 接続を介した転送 BBB1 и AAA1;

6) ルーターは、ESP データグラムを生成します。 BBB1 на AAA1;

7) ルーターは、このパケットの送信先を決定します。たとえば、次の宛先に送信します。 BBB254 (ISP ゲートウェイ) へのより具体的なルートがあるため、 AAA1、0.0.0.0/0 よりも、それはありません。

8) すでに述べたように、MAC アドレスを見つけます。 BBB254 そしてパケットを ISP ゲートウェイに送信します。

9) インターネットプロバイダーは、ESP データグラムを送信します。 BBB1 на AAA1;

10) 仮想ルーター上の AAA1 このデータグラムを受信し、復号化してからパケットを受信します。 192.168.B.1:55555 のために 192.168.A.1:3389;

11) 仮想ルーターは、誰に渡すかを確認し、ルーティングテーブルでネットワークを見つけます。 192.168.A.0/24 に直接送信します 192.168.A.1、インターフェイスがあるため 192.168.A.254/24;

12) このために、仮想ルーターは MAC アドレスを見つけます。 192.168.A.1 そして、このパケットを仮想イーサネットネットワーク経由で送信します。

13） 192.168.A.1 はこのパケットをポート 3389 で受信し、接続の確立に同意し、からの応答としてパケットを生成します。 192.168.A.1:3389 на 192.168.B.1:55555;

14) 彼のシステムはこのパケットを仮想ルーターのゲートウェイアドレスに送信します (192.168.A.254 私たちの場合）、他のより具体的なルートがあるため、 192.168.B.1がないため、デフォルトルート (0.0.0.0/0) を介してパケットを送信する必要があります。

15) 前のケースと同様に、次のアドレスを持つサーバー上で実行されるシステム 192.168.A.1、MACアドレスを見つけます 192.168.A.254、そのインターフェイスと同じネットワーク上にあるため、 192.168.A.1/24;

16) 仮想ルーターはこのパケットを受信し、どこに転送するかを決定します。仮想ルーターには、すべてのパケットを送信する必要があるという書面化されたポリシーがあります。 192.168.A.0/24 и 192.168.B.0/24 間での VPN 接続を介した転送 AAA1 и BBB1;

17) 仮想ルーターは、ESP データグラムを生成します。 AAA1 のために BBB1;

18) 仮想ルーターはこのパケットの送信先を決定し、パケットを送信します。 AAA254 (ISP ゲートウェイ、この場合は私たちも指します)、より具体的なルートがあるためです。 BBB1、0.0.0.0/0 よりも、それはありません。

19) インターネットプロバイダーは、ネットワーク上で ESP データグラムを送信します。 AAA1 на BBB1;

20) ルーターがオンになっている BBB1 このデータグラムを受信し、復号化してからパケットを受信します。 192.168.A.1:3389 のために 192.168.B.1:55555;

21) 彼は、それが特に次の宛先に転送されるべきであることを理解しています。 192.168.B.1、彼は同じネットワーク上にあるため、ルーティングテーブルに対応するエントリがあり、そのため、彼は全体のパケットを送信する必要があります。 192.168.B.0/24 直接;

22) ルーターは、次の MAC アドレスを見つけます。 192.168.B.1 そして彼にこの包みを手渡します。

23) このアドレスを持つコンピュータ上のオペレーティングシステム 192.168.B.1 ～から荷物を受け取ります 192.168.A.1:3389 のために 192.168.B.1:55555 そして、TCP 接続を確立するための次のステップを開始します。

この例は、レベル 2 ～ 4 で何が起こるかを非常に簡潔かつ単純化して説明しています (ここで他の詳細を覚えておくこともできます)。レベル 1、5 ～ 7 は考慮されません。

ポジション XNUMX

との場合 192.168.B.0/24 何かが具体的に送信される AAA2、VPN には接続されず、直接接続されます。つまり、ユーザーがアドレスから 192.168.B.1 に訴える AAA2:13389、このパケットは次のアドレスから送信されます。 BBB1、伝わる AAA2、ルーターがそれを受信して送信します。 192.168.A.1. 192.168.A.1 については何も知りません 192.168.B.1、彼はからのパッケージを見ます BBB1、彼が彼を手に入れたからです。したがって、このリクエストに対する応答は一般的なルートに従い、同じ方法でアドレスから送信されます。 AAA2 そして行きます BBB1、そしてそのルーターはこの応答をに送信します 192.168.B.1、彼はからの答えを見ます AAA2、彼は誰に宛てた。

具体例：

1) 192.168.B.1 に訴える AAA2、との TCP 接続を確立したいと考えています。 AAA2:13389;

2) 192.168.B.1 ～から接続リクエストを送信します 192.168.B.1:55555 (前の例と同様、この番号は異なる場合があります) AAA2:13389;

3) このアドレスを持つコンピュータ上で実行されるオペレーティングシステム 192.168.B.1、このパケットをルーターのゲートウェイアドレスに転送することを決定します (192.168.B.254 私たちの場合）、他のより具体的なルートがあるため、 AAA2、これはありません。これは、デフォルトルート (0.0.0.0/0) 経由でパケットを送信することを意味します。

4) このため、前の例で述べたように、IP アドレスの MAC アドレスを見つけようとします。 192.168.B.254 ARP プロトコルキャッシュテーブル内。検出されない場合はそのアドレスから送信 192.168.B.1 誰がリクエストを持っているかをネットワークにブロードキャストする 192.168.B.0/24。いつ 192.168.B.254 応答として、システムはその MAC アドレスを送信し、システムはそのためにイーサネットパケットを送信し、この情報をキャッシュテーブルに入力します。

5) ルータはこのパケットを受信し、どこに転送するかを決定します。ルータには、次からのすべてのパケットを転送する (リターンアドレスを置き換える) 必要があるという書面化されたポリシーがあります。 192.168.B.0/24 他のインターネットノードへ。

6) このポリシーは、戻りアドレスがこのパケットの送信に使用されるインターフェイス上の下位アドレスと一致する必要があることを暗示しているため、ルーターは最初にこのパケットの正確な送信先を決定し、前の例と同様に、ルーターはパケットを送信する必要があります。に BBB254 (ISP ゲートウェイ) へのより具体的なルートがあるため、 AAA2、0.0.0.0/0 よりも、それはありません。

7) したがって、ルーターはパケットの返信アドレスを置き換えます。これ以降、パケットは BBB1:44444 (ポート番号は、もちろん異なる場合があります) AAA2:13389;

8) ルーターは自分が何をしたか、つまりいつしたかを記憶します。 AAA2:13389 к BBB1:44444 応答が到着すると、宛先アドレスとポートを次のように変更する必要があることがわかります。 192.168.B.1:55555.

9) これで、ルーターはそれを経由して ISP ネットワークに渡す必要があります。 BBB254したがって、すでに述べたように、次の MAC アドレスを見つけます。 BBB254 そしてパケットを ISP ゲートウェイに送信します。

10) インターネットプロバイダーはパケットを送信します。 BBB1 на AAA2;

11) 仮想ルーター上の AAA2 このパケットをポート 13389 で受信します。

12) 仮想ルーターには、このポート上の送信者から受信したパケットを次の宛先に送信することを規定するルールがあります。 192.168.A.1:3389;

13) 仮想ルーターはルーティングテーブルでネットワークを見つけます。 192.168.A.0/24 そしてそれを直接送ります 192.168.A1 インターフェイスがあるため 192.168.A.254/24;

14) このために、仮想ルーターは MAC アドレスを見つけます。 192.168.A.1 そして、このパケットを仮想イーサネットネットワーク経由で送信します。

15） 192.168.A.1 はこのパケットをポート 3389 で受信し、接続の確立に同意し、からの応答としてパケットを生成します。 192.168.A.1:3389 на BBB1:44444;

16) 彼のシステムはこのパケットを仮想ルーターのゲートウェイアドレスに送信します (192.168.A.254 私たちの場合）、他のより具体的なルートがあるため、 BBB1がないため、デフォルトルート (0.0.0.0/0) を介してパケットを送信する必要があります。

17) 前のケースとまったく同じ、次のアドレスを持つサーバー上で実行されるシステム 192.168.A.1、MACアドレスを見つけます 192.168.A.254、そのインターフェイスと同じネットワーク上にあるため、 192.168.A.1/24;

18) 仮想ルータがこのパケットを受信します。彼は自分が受け取ったものを覚えていることに注意する必要があります AAA2:13389 からのパッケージ BBB1:44444 そして受信者のアドレスとポートを次のように変更しました 192.168.A.1:3389したがって、からのパッケージは 192.168.A.1:3389 のために BBB1:44444 送信者アドレスを次のように変更します AAA2:13389;

19) 仮想ルーターはこのパケットの送信先を決定し、パケットを送信します。 AAA254 (ISP ゲートウェイ、この場合は私たちも指します)、より具体的なルートがあるためです。 BBB1、0.0.0.0/0 よりも、それはありません。

20) インターネットプロバイダーは、次のパケットを送信します。 AAA2 на BBB1;

21) ルーターがオンになっている BBB1 このパケットを受信すると、パケットを送信したときのことを思い出します。 192.168.B.1:55555 のために AAA2:13389、彼は自分のアドレスと送信者ポートを次のように変更しました。 BBB1:44444、この場合、これはに送信する必要がある応答です 192.168.B.1:55555 (実際には、さらにいくつかのチェックがありますが、それについては詳しく説明しません)。

22) 彼は、それが直接に伝えられるべきであることを理解しています。 192.168.B.1、彼は同じネットワーク上にあるため、ルーティングテーブルに対応するエントリがあり、そのため、彼は全体のパケットを送信する必要があります。 192.168.B.0/24 直接;

23) ルーターは、次の MAC アドレスを見つけます。 192.168.B.1 そして彼にこの包みを手渡します。

24) このアドレスを持つコンピュータ上のオペレーティングシステム 192.168.B.1 ～から荷物を受け取ります AAA2:13389 のために 192.168.B.1:55555 そして、TCP 接続を確立するための次のステップを開始します。

この場合、アドレスを持つコンピュータは 192.168.B.1 そのアドレスのサーバーについては何も知りません 192.168.A.1、彼は通信するだけです AAA2。同様に、そのアドレスを持つサーバーは、 192.168.A.1 そのアドレスのコンピュータについては何も知りません 192.168.B.1。彼はそのアドレスからつながったと信じている BBB1いわば、彼はそれ以外のことを何も知りません。

また、このコンピュータがアクセスした場合、 AAA2:1540、仮想ネットワーク内のサーバー上であっても、ポート 1540 への接続転送が仮想ルーターで構成されていないため、接続は確立されません。 192.168.A.0/24 (たとえば、次のアドレスを持つサーバー上で 192.168.A.1)、このポートでの接続を待機しているサービスがいくつかあります。住所を持っているコンピュータユーザーの場合 192.168.B.1 このサービスへの接続を確立することが不可欠であり、VPN を使用する必要があります。直接連絡する 192.168.A.1:1540.

との接続を確立しようとする試みは、 AAA1 (ただし、からの IPSec 接続を除く) BBB1 成功しません。との接続を確立しようとする試み AAA2ポート 13389 への接続を除き、これも成功しません。
また、 AAA2 他の人が申請した場合 (CCCC など)、段落 10 ～ 20 に示されているすべての内容がその人にも適用されます。この前後で何が起こるかは、この CCCC の背後にあるものによって決まります。そのような情報はありません。そのため、CCCC アドレスを持つノードの管理者に相談することをお勧めします。

XNUMX位

そして、逆に、 192.168.A.1 BBB1 (たとえば、11111) に内向きに転送するように設定されたポートに何かが送信されますが、これも最終的には VPN に到達せず、単純に VPN から流れます。 AAA1 そして入ります BBB1そして彼はすでにそれをどこかに送信しています、たとえば、 192.168.B.2:3389。彼はこのパッケージがどこからのものではないことに気づきました 192.168.A.1、しかし AAA1。そしていつ 192.168.B.2 返信すると、荷物はどこから来ていますか BBB1 на AAA1、 その後、接続イニシエーターに到達します - 192.168.A.1.

具体例：

1) 192.168.A.1 に訴える BBB1、との TCP 接続を確立したいと考えています。 BBB1:11111;

2) 192.168.A.1 ～から接続リクエストを送信します 192.168.A.1:55555 (前の例と同様、この番号は異なる場合があります) BBB1:11111;

3) アドレスを持つサーバー上で実行されるオペレーティングシステム 192.168.A.1、このパケットをルーターのゲートウェイアドレスに転送することを決定します (192.168.A.254 私たちの場合）、他のより具体的なルートがあるため、 BBB1がないため、デフォルトルート (0.0.0.0/0) 経由でパケットを送信します。

4) このため、前の例で述べたように、IP アドレスの MAC アドレスを見つけようとします。 192.168.A.254 ARP プロトコルキャッシュテーブル内。検出されない場合はそのアドレスから送信 192.168.A.1 誰がリクエストを持っているかをネットワークにブロードキャストする 192.168.A.0/24。いつ 192.168.A.254 それに応じて、彼は彼女に自分の MAC アドレスを送信し、システムはそのイーサネットパケットを送信し、この情報をキャッシュテーブルに入力します。

5) 仮想ルータはこのパケットを受信し、どこに転送するかを決定します。仮想ルータには、次からのすべてのパケットを転送する (戻りアドレスを置き換える) 必要があるという書面化されたポリシーがあります。 192.168.A.0/24 他のインターネットノードへ。

6) このポリシーでは、戻りアドレスがこのパケットの送信に使用されるインターフェイス上の下位アドレスと一致する必要があると想定しているため、仮想ルーターは最初にこのパケットの正確な送信先を決定し、前の例と同様に、仮想ルーターは次のパケットを送信する必要があります。それを AAA254 (ISP ゲートウェイ、この場合は私たちも指します)、より具体的なルートがあるためです。 BBB1、0.0.0.0/0 よりも、それはありません。

7) これは、仮想ルーターがパケットの戻りアドレスを置き換えることを意味します。これ以降、パケットはからのパケットになります。 AAA1:44444 (ポート番号は、もちろん異なる場合があります) BBB1:11111;

8) 仮想ルーターは自分が行ったことを記憶しているため、いつ BBB1:11111 のために AAA1:44444 応答が到着すると、宛先アドレスとポートを次のように変更する必要があることがわかります。 192.168.A.1:55555.

9) これで、仮想ルーターはそれを経由して ISP ネットワークに渡す必要があります。 AAA254したがって、すでに述べたように、次の MAC アドレスが見つかります。 AAA254 そしてパケットを ISP ゲートウェイに送信します。

10) インターネットプロバイダーはパケットを送信します。 AAA1 ～ BBB1;

11) ルーターがオンになっている BBB1 このパケットをポート 11111 で受信します。

12) 仮想ルーターには、このポートの送信者から到着したパケットを次の宛先に送信することを規定するルールがあります。 192.168.B.2:3389;

13) ルーターはルーティングテーブルでネットワークを見つけます。 192.168.B.0/24 に直接送信します 192.168.B.2、インターフェイスがあるため 192.168.B.254/24;

14) このために、仮想ルーターは MAC アドレスを見つけます。 192.168.B.2 そして、このパケットを仮想イーサネットネットワーク経由で送信します。

15） 192.168.B.2 はこのパケットをポート 3389 で受信し、接続の確立に同意し、からの応答としてパケットを生成します。 192.168.B.2:3389 на AAA1:44444;

16) 彼のシステムはこのパケットをルーターのゲートウェイアドレス (192.168.B.254 私たちの場合）、他のより具体的なルートがあるため、 AAA1がないため、デフォルトルート (0.0.0.0/0) を介してパケットを送信する必要があります。

17) 前の場合と同様に、次のアドレスを持つコンピュータ上で実行されるシステム 192.168.B.2、MACアドレスを見つけます 192.168.B.254、そのインターフェイスと同じネットワーク上にあるため、 192.168.B.2/24;

18) ルーターはこのパケットを受信します。彼は自分が受け取ったものを覚えていることに注意する必要があります BBB1:11111 からのパッケージ AAA1 そして受信者のアドレスとポートを次のように変更しました 192.168.B.2:3389したがって、からのパッケージは 192.168.B.2:3389 のために AAA1:44444 送信者アドレスを次のように変更します BBB1:11111;

19) ルーターは、このパケットの送信先を決定します。彼はそれを、たとえば、次の宛先に送信します。 BBB254 (ISP ゲートウェイ、正確なアドレスは不明)、これ以上具体的なルートがないため AAA1、0.0.0.0/0 よりも、それはありません。

20) インターネットプロバイダーは、次のパケットを送信します。 BBB1 на AAA1;

21) 仮想ルーター上の AAA1 このパケットを受信すると、パケットを送信したときのことを思い出します。 192.168.A.1:55555 のために BBB1:11111、彼は自分のアドレスと送信者ポートを次のように変更しました。 AAA1:44444。これは、これが送信する必要がある回答であることを意味します 192.168.A.1:55555 (実際、前の例で述べたように、さらにいくつかのチェックもありますが、今回はそれらについては詳しく説明しません)。

22) 彼は、それが直接に伝えられるべきであることを理解しています。 192.168.A.1、彼は同じネットワーク上にあるため、ルーティングテーブルに対応するエントリがあり、そのエントリが彼にパケットを全体に送信することを強制することを意味します。 192.168.A.0/24 直接;

23) ルーターは、次の MAC アドレスを見つけます。 192.168.A.1 そして彼にこの包みを手渡します。

24) アドレスを持つサーバー上のオペレーティングシステム 192.168.A.1 ～から荷物を受け取ります BBB1:11111の場合 192.168.A.1:55555 そして、TCP 接続を確立するための次のステップを開始します。

前のケースとまったく同じです。この場合は、次のアドレスを持つサーバーです。 192.168.A.1 そのアドレスのコンピュータについては何も知りません 192.168.B.1、彼は通信するだけです BBB1。アドレスのあるコンピュータ 192.168.B.1 また、そのアドレスを持つサーバーについては何も知りません 192.168.A.1。彼はそのアドレスからつながったと信じている AAA1、残りは彼から隠されています。

出力

これは、クライアントのオフィスとクラウド環境の間の VPN トンネル内部の接続と、VPN トンネル外部の接続のすべてがどのように行われるかです。ご質問がある場合、またはクラウドの問題を解決するために当社のサポートが必要な場合は、 24時間年中無休でお問い合わせください。

出所： habr.com

VPN トンネルの内側と外側の接続で何が起こるか

ポジション XNUMX

ポジション XNUMX

XNUMX位

出力

コメントを追加します返信をキャンセル

VPN トンネルの内側と外側の接続で何が起こるか

ポジション XNUMX

ポジション XNUMX

XNUMX位

出力

コメントを追加します 返信をキャンセル

コメントを追加します返信をキャンセル