ProHoster > Blog > Administratioun > Wat geschitt op Verbindunge bannent an ausserhalb vum VPN Tunnel

Wat geschitt op Verbindunge bannent an ausserhalb vum VPN Tunnel

Real Artikelen sinn aus Bréiwer zu Tucha technesch Ënnerstëtzung gebuer. Zum Beispill huet e Client eis viru kuerzem mat enger Ufro ugefrot fir ze klären wat geschitt wärend Verbindungen am VPN Tunnel tëscht dem Benotzer Büro an der Cloud Ëmfeld, souwéi während Verbindungen ausserhalb vum VPN Tunnel. Dofir ass de ganzen Text hei ënnen en eigentleche Bréif, dee mir un ee vun eise Clienten an Äntwert op seng Fro geschéckt hunn. Natierlech goufen d'IP Adressen geännert fir de Client net ze de-anonymiséieren. Awer, jo, Tucha technesch Ënnerstëtzung ass wierklech berühmt fir seng detailléiert Äntwerten an informativ E-Mailen. 🙂

Natierlech verstinn mir datt fir vill dësen Artikel keng Offenbarung wäert sinn. Awer, well Artikele fir Ufänger Administrateuren op Habr vun Zäit zu Zäit erschéngen, an och well dësen Artikel aus engem richtege Bréif un e richtege Client erschéngt, wäerte mir dës Informatioun nach ëmmer hei deelen. Et gëtt eng héich Wahrscheinlechkeet datt et fir een nëtzlech ass.
Dofir erkläre mir am Detail wat tëscht dem Server an der Wollek an dem Büro geschitt wann se vun engem Site-zu-Site-Netz verbonne sinn. Bedenkt datt e puer Servicer nëmme vum Büro zougänglech sinn, an e puer sinn iwwerall um Internet zougänglech.

Loosst eis direkt erklären wat eise Client um Server wollt 192.168.A.1 Dir kënnt iwwerall iwwer RDP kommen, verbënnt mat AAA2:13389, an Zougang zu anere Servicer nëmmen aus dem Büro (192.168.B.0/24)verbonne iwwer VPN. Och de Client hat et am Ufank konfiguréiert datt den Auto 192.168.B.2 am Büro war et och méiglech RDP vun iwwerall ze benotzen, konnektéieren op BBB1:11111. Mir hunn gehollef IPSec Verbindungen tëscht der Wollek an dem Büro z'organiséieren, an den IT Spezialist vum Client huet ugefaang Froen ze stellen iwwer wat an dësem oder deem Fall geschéie géif. Fir all dës Froen ze beäntweren, hu mir, tatsächlech, him alles geschriwwen, wat Dir hei ënnen liest.

Wat geschitt op Verbindunge bannent an ausserhalb vum VPN Tunnel

Loosst eis elo dës Prozesser méi detailléiert kucken.

Positioun eent

Wann eppes geschéckt gëtt vun 192.168.B.0/24 в 192.168.A.0/24 oder vun 192.168.A.0/24 в 192.168.B.0/24, gëtt et an de VPN. Dat ass, dëse Paket gëtt zousätzlech verschlësselt an tëscht iwwerdroen BBB1 и AAA1, awer 192.168.A.1 gesäit de Pak genee vun 192.168.B.1. Si kënne mat all aner mat all Protokoll kommunizéieren. Retour Äntwerte ginn op déiselwecht Manéier iwwer de VPN iwwerdroen, dat heescht datt de Paket vun 192.168.A.1 fir 192.168.B.1 gëtt als ESP Datagram geschéckt vun AAA1 op BBB1, deen de Router op där Säit ausklappt, huelt dee Paket doraus a schéckt en un 192.168.B.1 als Pak vun 192.168.A.1.

Spezifesch Beispill:

1) 192.168.B.1 appelléiert un 192.168.A.1, wëll eng TCP Verbindung mat 192.168.A.1:3389;

2) 192.168.B.1 schéckt eng Verbindung Ufro vun 192.168.B.1:55555 (hie wielt selwer d'Portnummer fir de Feedback; heino benotze mir d'Nummer 55555 als Beispill vun der Portnummer déi de System auswielt wann Dir eng TCP Verbindung formt) op 192.168.A.1:3389;

3) e Betribssystem deen op engem Computer mat der Adress leeft 192.168.B.1, decidéiert dëse Paket op d'Gateway-Adress vum Router weiderzebréngen (192.168.B.254 an eisem Fall), well aner, méi spezifesch routes fir 192.168.A.1, et huet net, dofir schéckt se de Paket iwwer de Standardroute (0.0.0.0/0);

4) dofir probéiert et d'MAC Adress fir d'IP Adress ze fannen 192.168.B.254 an der ARP Protokoll Cache Tabelle. Wann et net fonnt gëtt, schéckt vun der Adress 192.168.B.1 Sendung wien-huet Ufro un de Reseau 192.168.B.0/24An. Wéini 192.168.B.254 als Äntwert, et schéckt et seng MAC Adress, de System iwwerdréit en Ethernet Paket fir et a gitt dës Informatioun an seng Cache Dësch;

5) de Router kritt dëse Paket an entscheet wou et weidergeleet gëtt: et huet eng schrëftlech Politik no där et all Paketen tëscht 192.168.B.0/24 и 192.168.A.0/24 Transfert iwwer eng VPN Verbindung tëscht BBB1 и AAA1;

6) de Router generéiert en ESP Datagram aus BBB1 op AAA1;

7) de Router entscheet un wien dëse Paket schéckt, et schéckt et un, sot, BBB254 (ISP Paart) well et méi spezifesch routes zu AAA1, wéi 0.0.0.0/0, et huet net;

8) genee d'selwecht wéi scho gesot, et fënnt d'MAC Adress fir BBB254 a schéckt de Paket un d'ISP Gateway;

9) Internet Ubidder iwwerdroen en ESP Datagram vun BBB1 op AAA1;

10) virtuelle Router an AAA1 kritt dësen Datagramm, entschlësselt et a kritt e Paket vun 192.168.B.1:55555 fir 192.168.A.1:3389;

11) de virtuelle Router iwwerpréift un wien et weidergeet, fënnt d'Netzwierk an der Routingtabelle 192.168.A.0/24 a schéckt se direkt un 192.168.A.1, well et en Interface huet 192.168.A.254/24;

12) dofir fënnt de virtuelle Router d'MAC Adress fir 192.168.A.1 a schéckt him dëse Paket iwwer e virtuellt Ethernet Netzwierk;

13) 192.168.A.1 kritt dëse Pak um Hafen 3389, averstanen eng Verbindung opzebauen a generéiert e Paket als Äntwert vum 192.168.A.1:3389 op 192.168.B.1:55555;

14) säi System iwwerdréit dëse Paket op d'Paartadress vum virtuelle Router (192.168.A.254 an eisem Fall), well aner, méi spezifesch routes fir 192.168.B.1, et huet net, dofir muss et de Paket iwwer de Standardroute (0.0.0.0/0) iwwerdroen;

15) d'selwecht wéi a fréiere Fäll, e System deen op engem Server mat der Adress leeft 192.168.A.1, fënnt d'MAC Adress 192.168.A.254, well et am selwechte Netzwierk mat senger Interface ass 192.168.A.1/24;

16) de virtuelle Router kritt dëse Paket an entscheet wou et weidergeleet gëtt: et huet eng schrëftlech Politik no där et all Pakete muss schécken tëscht 192.168.A.0/24 и 192.168.B.0/24 Transfert iwwer eng VPN Verbindung tëscht AAA1 и BBB1;

17) de virtuelle Router generéiert en ESP Datagram aus AAA1 fir BBB1;

18) de virtuelle Router entscheet op wien dëse Paket schéckt, schéckt et un AAA254 (ISP Paart, an dësem Fall, dat ass eis och), well et méi spezifesch routes zu BBB1, wéi 0.0.0.0/0, et huet net;

19) Internet Ubidder iwwerdroen en ESP Datagram iwwer hir Netzwierker mat AAA1 op BBB1;

20) Router an BBB1 kritt dësen Datagramm, entschlësselt et a kritt e Paket vun 192.168.A.1:3389 fir 192.168.B.1:55555;

21) hie versteet, datt et soll speziell transferéiert ginn 192.168.B.1, well hien am selwechten Netz mat him ass, huet hien also eng entspriechend Entrée an der Routing-Tabelle, déi him zwéngt Pakete fir déi ganz 192.168.B.0/24 direkt;

22) de Router fënnt d'MAC Adress fir 192.168.B.1 an iwwerreecht him dëse Pak;

23) Betribssystem op engem Computer mat der Adress 192.168.B.1 kritt e Pak vun 192.168.A.1:3389 fir 192.168.B.1:55555 an initiéiert déi nächst Schrëtt fir eng TCP Verbindung ze etabléieren.

Dëst Beispill ganz präzis a vereinfacht (an hei kënnt Dir eng Rëtsch aner Detailer erënneren) beschreift wat op Niveauen 2-4 geschitt. Niveauen 1, 5-7 ginn net berücksichtegt.

Positioun zwee

Wann mat 192.168.B.0/24 eppes gëtt speziell geschéckt AAA2, et geet net op de VPN, awer direkt. Dat ass, wann de Benotzer vun der Adress 192.168.B.1 appelléiert un AAA2:13389, dëse Pak kënnt vun der Adress BBB1, geet weider AAA2, an dann kritt de Router et an iwwerdréit et op 192.168.A.1. 192.168.A.1 weess näischt iwwer 192.168.B.1, hie gesäit e Pak vun BBB1, well hien huet him. Dofir geet d'Äntwert op dës Ufro laanscht den allgemenge Wee, et kënnt vun der Adress op déiselwecht Manéier AAA2 a geet op BBB1, an dee Router schéckt dës Äntwert op 192.168.B.1, hie gesäit d'Äntwert vun AAA2, un déi hie sech riicht.

Spezifesch Beispill:

1) 192.168.B.1 appelléiert un AAA2, wëll eng TCP Verbindung mat AAA2:13389;

2) 192.168.B.1 schéckt eng Verbindung Ufro vun 192.168.B.1:55555 (dës Zuel, wéi am virdrun Beispill, kann anescht ginn) op AAA2:13389;

3) e Betribssystem deen op engem Computer mat der Adress leeft 192.168.B.1, decidéiert dëse Paket op d'Gateway-Adress vum Router weiderzebréngen (192.168.B.254 an eisem Fall), well aner, méi spezifesch routes fir AAA2, et huet keen, dat heescht datt et de Paket iwwer de Standardroute (0.0.0.0/0) iwwerdréit;

4) dofir, wéi mir am virege Beispill ernimmt hunn, probéiert et d'MAC Adress fir d'IP Adress ze fannen 192.168.B.254 an der ARP Protokoll Cache Tabelle. Wann et net fonnt gëtt, schéckt vun der Adress 192.168.B.1 Sendung wien-huet Ufro un de Reseau 192.168.B.0/24An. Wéini 192.168.B.254 als Äntwert, et schéckt et seng MAC Adress, de System iwwerdréit en Ethernet Paket fir et a gitt dës Informatioun an seng Cache Dësch;

5 192.168.B.0/24 op aner Internet Wirbelen;

6) well dës Politik implizéiert datt d'Retouradress mat der niddereger Adress op der Interface entsprécht, duerch deen dëse Paket iwwerdroe gëtt, entscheet de Router fir d'éischt op wien dee Paket genau schéckt, an hien, wéi am virege Beispill, muss et schécken zu BBB254 (ISP Paart) well et méi spezifesch routes zu AAA2, wéi 0.0.0.0/0, et huet net;

7) dofir ersetzt de Router d'Retouradress vum Paket, vun elo ass de Paket aus BBB1:44444 (port Zuel, natierlech, kann anescht ginn) zu AAA2:13389;

8) de Router erënnert un wat et gemaach huet, dat heescht wéini AAA2:13389 к BBB1:44444 Äntwert kënnt, hie wäert wëssen, datt hien d'Destinatioun Adress an port änneren soll 192.168.B.1:55555.

9) elo soll de Router et un den ISP Netz iwwerginn BBB254dofir, grad wéi mir schonn ernimmt, et fënnt d'MAC Adress fir BBB254 a schéckt de Paket un d'ISP Gateway;

10) Internet Ubidder iwwerdroen Pakete vun BBB1 op AAA2;

11) virtuelle Router an AAA2 kritt dëse Pak um Hafen 13389;

12) et gëtt eng Regel um virtuelle Router, déi festleet datt Päckchen, déi vun all Sender op dësem Hafen empfaange ginn, solle weiderginn 192.168.A.1:3389;

13) de virtuelle Router fënnt d'Netzwierk an der Routingtabelle 192.168.A.0/24 a schéckt se direkt 192.168.A.1 well et en Interface huet 192.168.A.254/24;

14) dofir fënnt de virtuelle Router d'MAC Adress fir 192.168.A.1 a schéckt him dëse Paket iwwer e virtuellt Ethernet Netzwierk;

15) 192.168.A.1 kritt dëse Pak um Hafen 3389, averstanen eng Verbindung opzebauen a generéiert e Paket als Äntwert vum 192.168.A.1:3389 op BBB1:44444;

16) säi System iwwerdréit dëse Paket op d'Paartadress vum virtuelle Router (192.168.A.254 an eisem Fall), well aner, méi spezifesch routes fir BBB1, et huet net, dofir muss et de Paket iwwer de Standardroute (0.0.0.0/0) iwwerdroen;

17) op déiselwecht Manéier wéi a fréiere Fäll, e System deen op engem Server mat der Adress leeft 192.168.A.1, fënnt d'MAC Adress 192.168.A.254, well et am selwechte Netzwierk mat senger Interface ass 192.168.A.1/24;

18) de virtuelle Router kritt dëse Paket. Et sollt bemierkt datt hien erënnert wat hien op krut AAA2:13389 Package vun BBB1:44444 an geännert sengem Destinataire d'Adress an port ze 192.168.A.1:3389, dofir, de Pak aus 192.168.A.1:3389 fir BBB1:44444 et ännert d'Adress vum Sender op AAA2:13389;

19) de virtuelle Router entscheet op wien dëse Paket schéckt, et schéckt et un AAA254 (ISP Paart, an dësem Fall, dat ass eis och), well et méi spezifesch routes zu BBB1, wéi 0.0.0.0/0, et huet net;

20) Internet Ubidder iwwerdroen e Paket mat AAA2 op BBB1;

21) Router an BBB1 kritt dëse Pak an erënnert, datt wann hien de Pak geschéckt vun 192.168.B.1:55555 fir AAA2:13389, Hien geännert seng Adress an Sender port ze BBB1:44444, dann ass dat d'Äntwert op déi geschéckt muss ginn 192.168.B.1:55555 (tatsächlech, et ginn e puer méi Kontrollen do, mä mir ginn net déif an dat);

22) hie versteet datt et direkt soll iwwerdroe ginn 192.168.B.1, well hien am selwechten Netz mat him ass, huet hien also eng entspriechend Entrée an der Routing-Tabelle, déi him zwéngt Pakete fir déi ganz 192.168.B.0/24 direkt;

23) de Router fënnt d'MAC Adress fir 192.168.B.1 an iwwerreecht him dëse Pak;

24) Betribssystem op engem Computer mat der Adress 192.168.B.1 kritt e Pak vun AAA2:13389 fir 192.168.B.1:55555 an initiéiert déi nächst Schrëtt fir eng TCP Verbindung ze etabléieren.

Et soll feststellen, datt an dësem Fall de Computer mat der Adress 192.168.B.1 weess näischt iwwer de Server mat der Adress 192.168.A.1, hien kommunizéiert nëmme mat AAA2. Och de Server mat der Adress 192.168.A.1 weess näischt iwwer de Computer mat der Adress 192.168.B.1. Hie mengt datt hie vun der Adress verbonne war BBB1, an hie weess näischt anescht, souzesoen.

Et sollt och bemierkt ginn datt wann dëse Computer Zougang AAA2:1540, gëtt d'Verbindung net etabléiert, well d'Verbindung Forwarding op den Hafen 1540 net um virtuelle Router konfiguréiert ass, och wann op all Server am virtuellen Netzwierk 192.168.A.0/24 (zum Beispill op engem Server mat der Adress 192.168.A.1) an et ginn e puer Servicer déi op Verbindungen op dësem Hafen waarden. Wann e Computer Benotzer mat enger Adress 192.168.B.1 Et ass onbedéngt eng Verbindung mat dësem Service opzebauen, et muss e VPN benotzen, d.h. direkt kontaktéieren 192.168.A.1:1540.

Et soll betount ginn, datt all Versuch eng Verbindung mat AAA1 (ausser d'IPSec Verbindung vun der BBB1 wäert net erfollegräich ginn. All Versuche fir Verbindungen opzebauen mat AAA2, ausser Verbindungen zum Hafen 13389, wäert och net erfollegräich sinn.
Mir notéieren och, datt wann zu AAA2 Wann een aneren gëlt (zum Beispill CCCC), gëlt alles wat an de Paragrafen 10-20 uginn ass och fir hien. Wat geschitt virun an duerno hänkt dovun of, wat genau hannert dëser CCCC ass. Mir hu keng esou Informatioun, dofir rode mir Iech d'Administrateuren vum Node mat der CCCC Adress ze konsultéieren

Positioun dräi

An, am Géigendeel, wann mat 192.168.A.1 eppes gëtt op e puer Hafen geschéckt, dee konfiguréiert ass fir no bannen op BBB1 weiderzebréngen (zum Beispill 11111), et endet och net am VPN, mee fléisst einfach aus AAA1 a geet an BBB1, an hien iwwerdréit et schonn iergendwou an, sot, 192.168.B.2:3389. Hie gesäit dëse Pak net aus 192.168.A.1,a vun AAA1. A wéini 192.168.B.2 äntwert, de Pak kënnt aus BBB1 op AAA1, a spéider kënnt de Verbindungsinitiator - 192.168.A.1.

Spezifesch Beispill:

1) 192.168.A.1 appelléiert un BBB1, wëll eng TCP Verbindung mat BBB1:11111;

2) 192.168.A.1 schéckt eng Verbindung Ufro vun 192.168.A.1:55555 (dës Zuel, wéi am virdrun Beispill, kann anescht ginn) op BBB1:11111;

3) e Betribssystem deen op engem Server mat der Adress leeft 192.168.A.1, decidéiert dëse Paket op d'Gateway-Adress vum Router weiderzebréngen (192.168.A.254 an eisem Fall), well aner, méi spezifesch routes fir BBB1, et huet net, dofir schéckt se de Paket iwwer de Standardroute (0.0.0.0/0);

4) dofir, wéi mir a fréiere Beispiller ernimmt hunn, probéiert et d'MAC Adress fir d'IP Adress ze fannen 192.168.A.254 an der ARP Protokoll Cache Tabelle. Wann et net fonnt gëtt, schéckt vun der Adress 192.168.A.1 Sendung wien-huet Ufro un de Reseau 192.168.A.0/24An. Wéini 192.168.A.254 als Äntwert, hien schéckt hir MAC Adress, de System iwwerdréit en Ethernet Paket fir et a gitt dës Informatioun an seng Cache Dësch;

5) de virtuelle Router kritt dëse Paket an entscheet wou et weidergeleet gëtt: et huet eng schrëftlech Politik no där et muss weiderginn (d'Retouradress ersetzen) all Pakete vun 192.168.A.0/24 op aner Internet Wirbelen;

6) well dës Politik ugeholl datt d'Retouradress mat der niddereger Adress op der Interface entsprécht, duerch deen dëse Paket iwwerdroe gëtt, entscheet de virtuelle Router fir d'éischt wien genee dëse Paket schéckt, an hien, wéi am virege Beispill, muss schécken et op AAA254 (ISP Paart, an dësem Fall, dat ass eis och), well et méi spezifesch routes zu BBB1, wéi 0.0.0.0/0, et huet net;

7) dat heescht datt de virtuelle Router d'Retouradress vum Paket ersetzt, vun elo un ass et e Paket vun AAA1:44444 (port Zuel, natierlech, kann anescht ginn) zu BBB1:11111;

8) de virtuelle Router erënnert un wat et gemaach huet, also wéini vun BBB1:11111 fir AAA1:44444 Äntwert kënnt, hie wäert wëssen, datt hien d'Destinatioun Adress an port änneren soll 192.168.A.1:55555.

9) elo soll de virtuelle Router et un den ISP Netzwierk iwwerginn AAA254, also genau wéi mir scho gesot hunn, fënnt et d'MAC Adress fir AAA254 a schéckt de Paket un d'ISP Gateway;

10) Internet Ubidder iwwerdroen Pakete vun AAA1 zu BBB1;

11) Router an BBB1 kritt dëse Pak um Hafen 11111;

12) et gëtt eng Regel um virtuelle Router, déi festleet datt Päckchen, déi vun engem Sender op dësem Hafen ukomm sinn, solle weidergeleet ginn 192.168.B.2:3389;

13) de Router fënnt d'Netzwierk an der Routingtabelle 192.168.B.0/24 a schéckt se direkt un 192.168.B.2, well et en Interface huet 192.168.B.254/24;

14) dofir fënnt de virtuelle Router d'MAC Adress fir 192.168.B.2 a schéckt him dëse Paket iwwer e virtuellt Ethernet Netzwierk;

15) 192.168.B.2 kritt dëse Pak um Hafen 3389, averstanen eng Verbindung opzebauen a generéiert e Paket als Äntwert vum 192.168.B.2:3389 op AAA1:44444;

16) säi System iwwerdréit dëse Paket op d'Gateway Adress vum Router (192.168.B.254 an eisem Fall), well aner, méi spezifesch routes fir AAA1, et huet net, dofir muss et de Paket iwwer de Standardroute (0.0.0.0/0) iwwerdroen;

17) op déiselwecht Manéier wéi a fréiere Fäll, e System deen op engem Computer mat der Adress leeft 192.168.B.2, fënnt d'MAC Adress 192.168.B.254, well et am selwechte Netzwierk mat senger Interface ass 192.168.B.2/24;

18) de Router kritt dëse Paket. Et sollt bemierkt datt hien erënnert wat hien op krut BBB1:11111 Package vun AAA1 an geännert sengem Destinataire d'Adress an port ze 192.168.B.2:3389, dofir, de Pak aus 192.168.B.2:3389 fir AAA1:44444 et ännert d'Adress vum Sender op BBB1:11111;

19) de Router entscheet op wien dëse Paket schéckt. Hie schéckt et un, sot, BBB254 (ISP Paart, déi genee Adress vun deem mir wëssen net), well et keng méi spezifesch routes zu AAA1, wéi 0.0.0.0/0, et huet net;

20) Internet Ubidder iwwerdroen e Paket mat BBB1 op AAA1;

21) virtuelle Router an AAA1 kritt dëse Pak an erënnert, datt wann hien de Pak geschéckt vun 192.168.A.1:55555 fir BBB1:11111, Hien geännert seng Adress an Sender port ze AAA1:44444. Dëst bedeit datt dëst d'Äntwert ass op déi geschéckt muss ginn 192.168.A.1:55555 (tatsächlech, wéi mir am virege Beispill ernimmt hunn, ginn et och e puer méi Kontrollen, awer dës Kéier gi mir net an d'Déift mat hinnen);

22) hie versteet datt et direkt soll iwwerdroe ginn 192.168.A.1, well hien um selwechten Netz mat him ass, heescht et datt hien eng entspriechend Entrée an der Routing-Tabelle huet, déi him forcéiert, Pakete fir de ganze 192.168.A.0/24 direkt;

23) de Router fënnt d'MAC Adress fir 192.168.A.1 an iwwerreecht him dëse Pak;

24) Betribssystem um Server mat der Adress 192.168.A.1 kritt e Pak vun BBB1:11111 fir 192.168.A.1:55555 an initiéiert déi nächst Schrëtt fir eng TCP Verbindung ze etabléieren.

Genau d'selwecht wéi am virege Fall, an dësem Fall de Server mat der Adress 192.168.A.1 weess näischt iwwer de Computer mat der Adress 192.168.B.1, hien kommunizéiert nëmme mat BBB1. Computer mat Adress 192.168.B.1 weess och näischt iwwer de Server mat der Adress 192.168.A.1. Hie mengt datt hie vun der Adress verbonne war AAA1, an de Rescht ass him verstoppt.

Konklusioun

Dëst ass wéi alles geschitt fir Verbindungen am VPN-Tunnel tëscht dem Client säi Büro an der Cloud-Ëmfeld, souwéi fir Verbindungen ausserhalb vum VPN-Tunnel. A wann Dir Froen hutt oder eis Hëllef braucht fir Cloud Probleemer ze léisen, Kontaktéiert eis 24x7.

Source: will.com

Setzt e Commentaire