Artikel nyata lair saka surat menyang dhukungan teknis Tucha. Contone, klien bubar nyedhaki kita kanthi panjaluk kanggo njlentrehake apa sing kedadeyan sajrone sambungan ing terowongan VPN antarane kantor pangguna lan lingkungan maya, uga sajrone sambungan ing njaba trowongan VPN. Mula, kabeh teks ing ngisor iki minangka layang nyata sing dikirim menyang salah sawijining klien kanggo nanggepi pitakonane. Mesthi, alamat IP wis diganti supaya ora de-anonim klien. Nanging, ya, dhukungan teknis Tucha pancen misuwur amarga jawaban sing rinci lan email sing informatif. 🙂
Mesthi, kita ngerti manawa kanggo akeh artikel iki ora bakal dadi wahyu. Nanging, amarga artikel kanggo pangurus pemula katon ing Habr saka wektu kanggo wektu, lan uga amarga artikel iki muncul saka layang nyata kanggo klien nyata, kita isih bakal nuduhake informasi iki ing kene. Ana kemungkinan dhuwur sing bakal migunani kanggo wong.
Mulane, kita nerangake kanthi rinci apa sing kedadeyan ing antarane server ing awan lan kantor yen disambungake dening jaringan situs-situs. Elinga yen sawetara layanan mung bisa diakses saka kantor, lan sawetara bisa diakses saka ngendi wae ing Internet.
Ayo kita langsung nerangake apa sing dikarepake klien ing server 192.168.A.1 sampeyan bisa teka saka ngendi wae liwat RDP, nyambung menyang AAA2:13389, lan akses menyang layanan liyane mung saka kantor (192.168.B.0/24)disambungake liwat VPN. Uga, klien wiwitane wis ngatur mobil kasebut 192.168.B.2 ing kantor uga bisa nggunakake RDP saka ngendi wae, nyambung menyang BBB1:11111. Kita mbantu ngatur sambungan IPSec ing antarane awan lan kantor, lan spesialis IT pelanggan wiwit takon babagan apa sing bakal kedadeyan ing kasus iki. Kanggo njawab kabeh pitakonan kasebut, kita, nyatane, nulis marang dheweke kabeh sing bisa diwaca ing ngisor iki.
Saiki ayo ndeleng proses kasebut kanthi luwih rinci.
Posisi siji
Nalika soko dikirim saka 192.168.B.0/24 в 192.168.A.0/24 utawa saka 192.168.A.0/24 в 192.168.B.0/24, iku nemu menyang VPN. Sing, paket iki tambahan ndhelik lan ditularaké antarane BBB1 и AAA1, nanging 192.168.A.1 ndeleng paket persis saka 192.168.B.1. Dheweke bisa komunikasi karo saben liyane nggunakake protokol apa wae. Wangsulan bali dikirim kanthi cara sing padha liwat VPN, tegese paket saka 192.168.A.1 kanggo 192.168.B.1 bakal dikirim minangka datagram ESP saka AAA1 ing BBB1, sing router bakal mbukak ing sisih kasebut, copot paket kasebut lan kirim menyang 192.168.B.1 minangka paket saka 192.168.A.1.
Tuladha spesifik:
1) 192.168.B.1 mréntahaké kanggo 192.168.A.1, pengin nggawe sambungan TCP karo 192.168.A.1:3389;
2) 192.168.B.1 ngirim panjalukan sambungan saka 192.168.B.1:55555 (dheweke milih nomer port kanggo umpan balik; sabanjure kita bakal nggunakake nomer 55555 minangka conto nomer port sing dipilih sistem nalika nggawe sambungan TCP) 192.168.A.1:3389;
3) sistem operasi sing mlaku ing komputer kanthi alamat 192.168.B.1, mutusake kanggo nerusake paket iki menyang alamat gateway router (192.168.B.254 ing kasus kita), amarga liyane, rute sing luwih spesifik kanggo 192.168.A.1, ora duwe, mulane, ngirim paket liwat rute standar (0.0.0.0/0);
4) kanggo iki nyoba golek alamat MAC kanggo alamat IP 192.168.B.254 ing tabel cache protokol ARP. Yen ora dideteksi, ngirim saka alamat 192.168.B.1 siaran sing-wis request menyang jaringan 192.168.B.0/24. Kapan 192.168.B.254 nanggepi, iku ngirim alamat MAC sawijining, sistem ngirim paket Ethernet lan ngetik informasi iki menyang meja cache sawijining;
5) router nampa paket iki lan mutusake ing ngendi arep diterusake: duwe kabijakan tertulis sing kudu ngirim kabeh paket ing antarane. 192.168.B.0/24 и 192.168.A.0/24 transfer liwat sambungan VPN antarane BBB1 и AAA1;
6) router ngasilake datagram ESP saka BBB1 ing AAA1;
7) router nemtokake sapa sing ngirim paket iki, ngirim menyang, ngomong, BBB254 (ISP gateway) amarga ana rute sing luwih spesifik kanggo AAA1, saka 0.0.0.0/0, iku ora duwe;
8) persis padha sing wis ngandika, ketemu alamat MAC kanggo BBB254 lan ngirim paket menyang gateway ISP;
9) Panyedhiya Internet ngirim datagram ESP saka BBB1 ing AAA1;
10) router virtual ing AAA1 nampa datagram iki, decrypts lan nampa paket saka 192.168.B.1:55555 kanggo 192.168.A.1:3389;
11) router virtual mriksa sing ngirim menyang, golek jaringan ing meja nuntun 192.168.A.0/24 lan dikirim langsung menyang 192.168.A.1, amarga nduweni antarmuka 192.168.A.254/24;
12) kanggo iki, router virtual nemokake alamat MAC kanggo 192.168.A.1 lan ngirim paket iki marang liwat jaringan Ethernet virtual;
13) 192.168.A.1 nampa paket iki ing port 3389, setuju kanggo nggawe sambungan lan ngasilake paket minangka respon saka 192.168.A.1:3389 ing 192.168.B.1:55555;
14) sistem ngirim paket iki menyang alamat gateway router virtual (192.168.A.254 ing kasus kita), amarga liyane, rute sing luwih spesifik kanggo 192.168.B.1, ora duwe, mulane kudu ngirim paket liwat rute standar (0.0.0.0/0);
15) padha ing kasus sadurunge, sistem sing mlaku ing server karo alamat 192.168.A.1, nemokake alamat MAC 192.168.A.254, amarga ana ing jaringan sing padha karo antarmuka 192.168.A.1/24;
16) router virtual nampa paket iki lan mutusake ing ngendi arep diterusake: duwe kabijakan tertulis sing kudu ngirim kabeh paket ing antarane. 192.168.A.0/24 и 192.168.B.0/24 transfer liwat sambungan VPN antarane AAA1 и BBB1;
17) router virtual ngasilake datagram ESP saka AAA1 kanggo BBB1;
18) router virtual nemtokaken sing ngirim paket iki, ngirim menyang AAA254 (ISP gateway, ing kasus iki, kita uga), amarga ana rute sing luwih spesifik BBB1, saka 0.0.0.0/0, iku ora duwe;
19) Panyedhiya Internet ngirim datagram ESP liwat jaringan karo AAA1 ing BBB1;
20) router ing BBB1 nampa datagram iki, decrypts lan nampa paket saka 192.168.A.1:3389 kanggo 192.168.B.1:55555;
21) dheweke ngerti yen kudu ditransfer khusus kanggo 192.168.B.1, amarga dheweke ana ing jaringan sing padha karo dheweke, mula dheweke duwe entri sing cocog ing tabel routing, sing meksa dheweke ngirim paket kanggo kabeh 192.168.B.0/24 langsung;
22) router nemokake alamat MAC kanggo 192.168.B.1 lan tangan wong paket iki;
23) sistem operasi ing komputer kanthi alamat 192.168.B.1 nampa paket saka 192.168.A.1:3389 kanggo 192.168.B.1:55555 lan miwiti langkah sabanjure kanggo nggawe sambungan TCP.
Conto iki cukup ringkes lan prasaja (lan ing kene sampeyan bisa ngelingi akeh rincian liyane) nggambarake apa sing kedadeyan ing tingkat 2-4. Tingkat 1, 5-7 ora dianggep.
Posisi loro
Yen karo 192.168.B.0/24 soko dikirim khusus kanggo AAA2, ora menyang VPN, nanging langsung. Sing, yen pangguna saka alamat 192.168.B.1 mréntahaké kanggo AAA2:13389, paket iki asalé saka alamat BBB1, liwat AAA2, banjur router nampa lan ngirim menyang 192.168.A.1. 192.168.A.1 ora ngerti apa-apa 192.168.B.1, dheweke ndeleng paket saka BBB1, amarga dheweke entuk dheweke. Mulane, respon panjalukan iki nderek rute umum, iku asalé saka alamat ing cara sing padha AAA2 lan menyang BBB1, lan router sing ngirim jawaban iki kanggo 192.168.B.1, dheweke weruh jawaban saka AAA2, marang kang dialamatake.
Tuladha spesifik:
1) 192.168.B.1 mréntahaké kanggo AAA2, pengin nggawe sambungan TCP karo AAA2:13389;
2) 192.168.B.1 ngirim panjalukan sambungan saka 192.168.B.1:55555 (nomer iki, kaya ing conto sadurunge, bisa uga beda) ing AAA2:13389;
3) sistem operasi sing mlaku ing komputer kanthi alamat 192.168.B.1, mutusake kanggo nerusake paket iki menyang alamat gateway router (192.168.B.254 ing kasus kita), amarga liyane, rute sing luwih spesifik kanggo AAA2, iku ora duwe, kang tegese ngirim paket liwat rute standar (0.0.0.0/0);
4) kanggo iki, kaya sing kasebut ing conto sadurunge, nyoba nemokake alamat MAC kanggo alamat IP 192.168.B.254 ing tabel cache protokol ARP. Yen ora dideteksi, ngirim saka alamat 192.168.B.1 siaran sing-wis request menyang jaringan 192.168.B.0/24. Kapan 192.168.B.254 nanggepi, iku ngirim alamat MAC sawijining, sistem ngirim paket Ethernet lan ngetik informasi iki menyang meja cache sawijining;
5) router nampa paket iki lan mutusake menyang ngendi arep diterusake: duwe kabijakan tertulis sing kudu diterusake (ngganti alamat bali) kabeh paket saka 192.168.B.0/24 menyang simpul Internet liyane;
6) amarga kabijakan iki nuduhake manawa alamat bali kudu cocog karo alamat sing sithik ing antarmuka sing bakal dikirim paket iki, router pisanan mutusake sapa sing ngirim paket iki, lan dheweke, kaya ing conto sadurunge, kudu ngirim. kanggo BBB254 (ISP gateway) amarga ana rute sing luwih spesifik kanggo AAA2, saka 0.0.0.0/0, iku ora duwe;
7) mulane, router ngganti alamat bali saka paket, mula paket kasebut saka BBB1:44444 (nomer port, mesthi, bisa uga beda) kanggo AAA2:13389;
8) router ngelingi apa iya, kang tegese nalika AAA2:13389 к BBB1:44444 respon arrives, kang bakal ngerti sing kudu ngganti alamat tujuan lan port kanggo 192.168.B.1:55555.
9) saiki router kudu ngirim menyang jaringan ISP liwat BBB254mula, kaya sing wis kasebut, nemokake alamat MAC kanggo BBB254 lan ngirim paket menyang gateway ISP;
10) panyedhiya Internet ngirim paket saka BBB1 ing AAA2;
11) router virtual ing AAA2 nampa paket iki ing port 13389;
12) ana aturan ing router virtual sing nemtokake manawa paket sing ditampa saka pangirim ing port iki kudu dikirim menyang 192.168.A.1:3389;
13) router virtual nemokake jaringan ing tabel routing 192.168.A.0/24 lan dikirim langsung 192.168.A.1 amarga nduweni antarmuka 192.168.A.254/24;
14) kanggo iki, router virtual nemokake alamat MAC kanggo 192.168.A.1 lan ngirim paket iki marang liwat jaringan Ethernet virtual;
15) 192.168.A.1 nampa paket iki ing port 3389, setuju kanggo nggawe sambungan lan ngasilake paket minangka respon saka 192.168.A.1:3389 ing BBB1:44444;
16) sistem ngirim paket iki menyang alamat gateway router virtual (192.168.A.254 ing kasus kita), amarga liyane, rute sing luwih spesifik kanggo BBB1, ora duwe, mulane kudu ngirim paket liwat rute standar (0.0.0.0/0);
17) persis padha ing kasus sadurunge, sistem sing mlaku ing server karo alamat 192.168.A.1, nemokake alamat MAC 192.168.A.254, amarga ana ing jaringan sing padha karo antarmuka 192.168.A.1/24;
18) router virtual nampa paket iki. Perlu dicathet yen dheweke ngelingi apa sing ditampa AAA2:13389 paket saka BBB1:44444 lan diganti alamat panampa lan port kanggo 192.168.A.1:3389, Mulane, paket saka 192.168.A.1:3389 kanggo BBB1:44444 iku ngganti alamat pangirim kanggo AAA2:13389;
19) router virtual mutusake sapa sing ngirim paket iki, dikirim menyang AAA254 (ISP gateway, ing kasus iki, kita uga), amarga ana rute sing luwih spesifik BBB1, saka 0.0.0.0/0, iku ora duwe;
20) panyedhiya Internet ngirim paket karo AAA2 ing BBB1;
21) router ing BBB1 nampa paket iki lan elinga yen dheweke dikirim paket saka 192.168.B.1:55555 kanggo AAA2:13389, dheweke ngganti alamat lan port pangirim menyang BBB1:44444, banjur iki respon sing kudu dikirim menyang 192.168.B.1:55555 (nyatane, ana sawetara liyane mriksa ana, nanging kita ora pindhah menyang jero);
22) dheweke ngerti yen kudu ditularake langsung menyang 192.168.B.1, amarga dheweke ana ing jaringan sing padha karo dheweke, mula dheweke duwe entri sing cocog ing tabel routing, sing meksa dheweke ngirim paket kanggo kabeh 192.168.B.0/24 langsung;
23) router nemokake alamat MAC kanggo 192.168.B.1 lan tangan wong paket iki;
24) sistem operasi ing komputer kanthi alamat 192.168.B.1 nampa paket saka AAA2:13389 kanggo 192.168.B.1:55555 lan miwiti langkah sabanjure kanggo nggawe sambungan TCP.
Sampeyan kudu nyatet sing ing kasus iki komputer karo alamat 192.168.B.1 ngerti apa-apa bab server karo alamat 192.168.A.1, dheweke mung komunikasi karo AAA2. Uga, server karo alamat 192.168.A.1 ngerti apa-apa bab komputer karo alamat 192.168.B.1. Dheweke percaya yen dheweke disambungake saka alamat kasebut BBB1, lan dheweke ora ngerti apa-apa liyane, supaya ngomong.
Sampeyan uga kudu nyatet yen komputer iki ngakses AAA2:1540, sambungan ora bakal digawe amarga sambungan sing diterusake menyang port 1540 ora dikonfigurasi ing router virtual, sanajan ing server apa wae ing jaringan virtual. 192.168.A.0/24 (contone, ing server kanthi alamat 192.168.A.1) lan ana sawetara layanan sing nunggu sambungan ing port iki. Yen pangguna komputer karo alamat 192.168.B.1 Penting kanggo nggawe sambungan menyang layanan iki, kudu nggunakake VPN, i.e. kontak langsung 192.168.A.1:1540.
Sampeyan kudu nandheske sing sembarang nyoba kanggo nggawe sambungan karo AAA1 (kajaba sambungan IPSec saka BBB1 ora bakal sukses. Sembarang usaha kanggo nggawe sambungan karo AAA2, kajaba sambungan menyang port 13389, uga ora bakal sukses.
Kita uga Wigati yen kanggo AAA2 Yen wong liya nglamar (contone, CCCC), kabeh sing dituduhake ing paragraf 10-20 uga bakal ditrapake kanggo dheweke. Apa sing kedadeyan sadurunge lan sawise iki gumantung saka apa sing ana ing mburi CCCC iki.
Posisi telu
Lan, Kosok baline, yen karo 192.168.A.1 soko dikirim menyang sawetara port sing diatur kanggo nerusake menyang BBB1 (contone, 11111), iku uga ora mungkasi munggah ing VPN, nanging mung mili saka AAA1 lan nemu menyang BBB1, lan dheweke wis ngirim menyang ngendi wae, ngomong, 192.168.B.2:3389. Dheweke ndeleng paket iki ora saka 192.168.A.1, nanging saka AAA1. Lan nalika 192.168.B.2 replies, paket teka saka BBB1 ing AAA1, lan mengko njaluk menyang inisiator sambungan - 192.168.A.1.
Tuladha spesifik:
1) 192.168.A.1 mréntahaké kanggo BBB1, pengin nggawe sambungan TCP karo BBB1:11111;
2) 192.168.A.1 ngirim panjalukan sambungan saka 192.168.A.1:55555 (nomer iki, kaya ing conto sadurunge, bisa uga beda) ing BBB1:11111;
3) sistem operasi sing mlaku ing server kanthi alamat 192.168.A.1, mutusake kanggo nerusake paket iki menyang alamat gateway router (192.168.A.254 ing kasus kita), amarga liyane, rute sing luwih spesifik kanggo BBB1, ora duwe, mulane, ngirim paket liwat rute standar (0.0.0.0/0);
4) kanggo iki, kaya sing wis kasebut ing conto sadurunge, nyoba nemokake alamat MAC kanggo alamat IP 192.168.A.254 ing tabel cache protokol ARP. Yen ora dideteksi, ngirim saka alamat 192.168.A.1 siaran sing-wis request menyang jaringan 192.168.A.0/24. Kapan 192.168.A.254 nanggepi, kang ngirim alamat MAC dheweke, sistem ngirim paket Ethernet lan ngetik informasi iki menyang meja cache sawijining;
5) router virtual nampa paket iki lan mutusake menyang ngendi arep diterusake: duwe kabijakan tertulis sing kudu diterusake (ngganti alamat bali) kabeh paket saka 192.168.A.0/24 menyang simpul Internet liyane;
6) amarga kabijakan iki nganggep yen alamat bali kudu cocog karo alamat sing kurang ing antarmuka sing bakal dikirim paket iki, router virtual pisanan mutusake sapa sing ngirim paket iki, lan dheweke, kaya ing conto sadurunge, kudu ngirim. iku ing AAA254 (ISP gateway, ing kasus iki, kita uga), amarga ana rute sing luwih spesifik BBB1, saka 0.0.0.0/0, iku ora duwe;
7) iki tegese router virtual ngganti alamat bali saka paket, wiwit saiki iku paket saka AAA1:44444 (nomer port, mesthi, bisa uga beda) kanggo BBB1:11111;
8) router virtual elinga apa iya, mulane, nalika saka BBB1:11111 kanggo AAA1:44444 respon arrives, kang bakal ngerti sing kudu ngganti alamat tujuan lan port kanggo 192.168.A.1:55555.
9) saiki router virtual kudu ngirim menyang jaringan ISP liwat AAA254, dadi kaya sing wis kasebut, nemokake alamat MAC kanggo AAA254 lan ngirim paket menyang gateway ISP;
10) panyedhiya Internet ngirim paket saka AAA1 kanggo BBB1;
11) router ing BBB1 nampa paket iki ing port 11111;
12) ana aturan ing router virtual sing nemtokake manawa paket sing teka saka pangirim ing port iki kudu dikirim menyang 192.168.B.2:3389;
13) router nemokake jaringan ing tabel routing 192.168.B.0/24 lan dikirim langsung menyang 192.168.B.2, amarga nduweni antarmuka 192.168.B.254/24;
14) kanggo iki, router virtual nemokake alamat MAC kanggo 192.168.B.2 lan ngirim paket iki marang liwat jaringan Ethernet virtual;
15) 192.168.B.2 nampa paket iki ing port 3389, setuju kanggo nggawe sambungan lan ngasilake paket minangka respon saka 192.168.B.2:3389 ing AAA1:44444;
16) sistem ngirim paket iki menyang alamat gateway router (192.168.B.254 ing kasus kita), amarga liyane, rute sing luwih spesifik kanggo AAA1, ora duwe, mulane kudu ngirim paket liwat rute standar (0.0.0.0/0);
17) kanthi cara sing padha kaya ing kasus sadurunge, sistem sing mlaku ing komputer kanthi alamat 192.168.B.2, nemokake alamat MAC 192.168.B.254, amarga ana ing jaringan sing padha karo antarmuka 192.168.B.2/24;
18) router nampa paket iki. Perlu dicathet yen dheweke ngelingi apa sing ditampa BBB1:11111 paket saka AAA1 lan diganti alamat panampa lan port kanggo 192.168.B.2:3389, Mulane, paket saka 192.168.B.2:3389 kanggo AAA1:44444 iku ngganti alamat pangirim kanggo BBB1:11111;
19) router nemtokake sapa sing ngirim paket iki. Dheweke ngirim menyang, ngomong, BBB254 (ISP gateway, alamat pas sing kita ora ngerti), amarga ora ana rute sing luwih spesifik AAA1, saka 0.0.0.0/0, iku ora duwe;
20) panyedhiya Internet ngirim paket karo BBB1 ing AAA1;
21) router virtual ing AAA1 nampa paket iki lan elinga yen dheweke dikirim paket saka 192.168.A.1:55555 kanggo BBB1:11111, dheweke ngganti alamat lan port pangirim menyang AAA1:44444. Iki tegese iki jawaban sing kudu dikirim menyang 192.168.A.1:55555 (nyatane, kaya sing wis kasebut ing conto sadurunge, ana uga sawetara pemeriksaan liyane, nanging wektu iki kita ora ngerti babagan iki);
22) dheweke ngerti yen kudu ditularake langsung menyang 192.168.A.1, amarga dheweke ana ing jaringan sing padha karo dheweke, tegese dheweke duwe entri sing cocog ing tabel rute sing meksa dheweke ngirim paket menyang kabeh 192.168.A.0/24 langsung;
23) router nemokake alamat MAC kanggo 192.168.A.1 lan tangan wong paket iki;
24) sistem operasi ing server karo alamat 192.168.A.1 nampa paket saka BBB1:11111 kanggo 192.168.A.1:55555 lan miwiti langkah sabanjure kanggo nggawe sambungan TCP.
Persis padha ing kasus sadurunge, ing kasus iki server karo alamat 192.168.A.1 ngerti apa-apa bab komputer karo alamat 192.168.B.1, dheweke mung komunikasi karo BBB1. Komputer karo alamat 192.168.B.1 uga ngerti apa-apa bab server karo alamat 192.168.A.1. Dheweke percaya yen dheweke disambungake saka alamat kasebut AAA1, lan liyane ndhelik saka wong.
kesimpulan
Iki kabeh kedadeyan kanggo sambungan ing terowongan VPN ing antarane kantor klien lan lingkungan maya, uga kanggo sambungan ing njaba terowongan VPN. Lan yen sampeyan duwe pitakon utawa butuh bantuan kanggo ngrampungake masalah awan,
Source: www.habr.com