Вистинските написи се раѓаат од писма до техничката поддршка на Туча. На пример, еден клиент неодамна ни пристапи со барање да разјасниме што се случува за време на поврзувањето внатре во VPN тунелот помеѓу канцеларијата на корисникот и околината на облакот, како и за време на поврзувањата надвор од тунелот VPN. Затоа, целиот текст подолу е вистинско писмо што го испративме до еден од нашите клиенти како одговор на неговото прашање. Се разбира, IP адресите беа сменети за да не се деанонимизира клиентот. Но, да, техничката поддршка на Туча е навистина позната по деталните одговори и информативните е-пошта. 🙂
Се разбира, разбираме дека за многумина оваа статија нема да биде откровение. Но, бидејќи на Habr од време на време се појавуваат написи за почетници администратори, а исто така и бидејќи овој напис се појави од вистинско писмо до вистински клиент, ние сепак ќе ги споделиме овие информации овде. Постои голема веројатност дека некому ќе му биде од корист.
Затоа, детално објаснуваме што се случува помеѓу серверот во облакот и канцеларијата ако се поврзани со мрежа од локација до локација. Имајте предвид дека некои услуги се достапни само од канцеларија, а некои се достапни од каде било на Интернет.
Дозволете ни веднаш да објасниме што сакаше нашиот клиент на серверот 192.168.A.1 може да дојдете од каде било преку RDP, поврзувајќи се со AAA2: 13389, и пристап до други услуги само од канцеларија (192.168.B.0/24)поврзани преку VPN. Исто така, клиентот првично го конфигурирал автомобилот 192.168.B.2 во канцеларијата исто така беше можно да се користи RDP од каде било, поврзувајќи се со BBB1: 11111. Помогнавме да се организираат IPSec врски помеѓу облакот и канцеларијата, а ИТ специјалистот на клиентот почна да поставува прашања за тоа што ќе се случи во овој или оној случај. За да одговориме на сите овие прашања, ние, всушност, му напишавме се што можете да прочитате подолу.
Сега да ги разгледаме овие процеси подетално.
Позиција еден
Кога нешто е испратено од 192.168.Б.0/24 в 192.168.А.0/24 или од 192.168.А.0/24 в 192.168.Б.0/24, влегува во VPN. Тоа е, овој пакет е дополнително шифриран и се пренесува помеѓу БББ1 и ААА1Но 192.168.A.1 го гледа пакетот точно од 192.168.B.1. Тие можат да комуницираат едни со други користејќи кој било протокол. Повратните одговори се пренесуваат на ист начин преку VPN, што значи дека пакетот од 192.168.A.1 за 192.168.B.1 ќе биде испратен како датаграм на ESP од ААА1 на БББ1, кој рутерот ќе го расклопи на таа страна, извадете го тој пакет од него и испратете го 192.168.B.1 како пакет од 192.168.A.1.
Конкретен пример:
1) 192.168.B.1 апелира до 192.168.A.1, сака да воспостави TCP врска со 192.168.A.1:3389;
2) 192.168.B.1 испраќа барање за поврзување од 192.168.B.1:55555 (тој сам го избира бројот на портата за повратна информација; во понатамошниот текст ќе го користиме бројот 55555 како пример за бројот на портата што системот го избира при формирање на TCP конекција) на 192.168.A.1:3389;
3) оперативен систем кој работи на компјутер со адресата 192.168.B.1, одлучува да го препрати овој пакет до адресата на портата на рутерот (192.168.B.254 во нашиот случај), бидејќи други, поспецифични правци за 192.168.A.1, нема, затоа, го пренесува пакетот преку стандардната рута (0.0.0.0/0);
4) за ова се обидува да ја најде MAC адресата за IP адресата 192.168.B.254 во табелата за кешот на протоколот ARP. Ако не се открие, испраќа од адресата 192.168.B.1 емитува кој-има барање до мрежата 192.168.Б.0/24. Кога 192.168.B.254 како одговор, тој му ја испраќа својата MAC адреса, системот пренесува етернет пакет за него и ги внесува овие информации во својата кеш табела;
5) рутерот го прима овој пакет и одлучува каде да го проследи: има пишана политика според која мора да ги испрати сите пакети помеѓу 192.168.Б.0/24 и 192.168.А.0/24 пренос преку VPN врска помеѓу БББ1 и ААА1;
6) рутерот генерира ESP датаграм од БББ1 на ААА1;
7) рутерот одлучува кому да го испрати овој пакет, го испраќа на, да речеме, БББ254 (ISP gateway), бидејќи има поспецифични рути до ААА1, од 0.0.0.0/0, нема;
8) исто како што веќе беше кажано, ја наоѓа MAC адресата за БББ254 и го пренесува пакетот до портата на интернет провајдерот;
9) Интернет провајдерите пренесуваат ESP датаграм од БББ1 на ААА1;
10) вклучен виртуелен рутер ААА1 го прима овој датаграм, го дешифрира и добива пакет од 192.168.B.1:55555 за 192.168.A.1:3389;
11) виртуелниот рутер проверува кому да го пренесе, ја наоѓа мрежата во рутирачката табела 192.168.А.0/24 и го испраќа директно до 192.168.A.1, бидејќи има интерфејс 192.168.А.254/24;
12) за ова, виртуелниот рутер ја наоѓа MAC адресата за 192.168.A.1 и го пренесува овој пакет до него преку виртуелна етернет мрежа;
13) 192.168.A.1 го прима овој пакет на портата 3389, се согласува да воспостави врска и генерира пакет како одговор од 192.168.A.1:3389 на 192.168.B.1:55555;
14) неговиот систем го пренесува овој пакет до адресата на портата на виртуелниот рутер (192.168.A.254 во нашиот случај), бидејќи други, поспецифични правци за 192.168.B.1, нема, затоа, мора да го пренесе пакетот преку стандардната рута (0.0.0.0/0);
15) исто како и во претходните случаи, систем што работи на сервер со адресата 192.168.A.1, ја наоѓа MAC адресата 192.168.A.254, бидејќи е на истата мрежа со својот интерфејс 192.168.А.1/24;
16) виртуелниот рутер го прима овој пакет и одлучува каде да го проследи: има пишана политика според која мора да ги испрати сите пакети помеѓу 192.168.А.0/24 и 192.168.Б.0/24 пренос преку VPN врска помеѓу ААА1 и БББ1;
17) виртуелниот рутер генерира ESP датаграм од ААА1 за БББ1;
18) виртуелниот рутер одлучува кому да го испрати овој пакет, го испраќа ААА254 (Исп портал, во овој случај, тоа сме и ние), бидејќи има поспецифични рути до БББ1, од 0.0.0.0/0, нема;
19) Интернет провајдерите пренесуваат ESP датаграм преку нивните мрежи со ААА1 на БББ1;
20) вклучен рутер БББ1 го прима овој датаграм, го дешифрира и добива пакет од 192.168.A.1:3389 за 192.168.B.1:55555;
21) тој разбира дека треба да се пренесе конкретно на 192.168.B.1, бидејќи тој е на иста мрежа со него, затоа, има соодветен запис во рутирачката табела, што го принудува да испраќа пакети за целата 192.168.Б.0/24 директно;
22) рутерот ја наоѓа MAC адресата за 192.168.B.1 и му го предаде овој пакет;
23) оперативен систем на компјутер со адреса 192.168.B.1 добива пакет од 192.168.A.1:3389 за 192.168.B.1:55555 и ги иницира следните чекори за воспоставување на TCP конекција.
Овој пример сосема концизно и поедноставено (и овде можете да запомните еден куп други детали) опишува што се случува на нивоата 2-4. Нивоата 1, 5-7 не се разгледуваат.
Позиција два
Ако со 192.168.Б.0/24 нешто се испраќа конкретно на ААА2, не оди на VPN, туку директно. Тоа е, ако корисникот од адресата 192.168.B.1 апелира до AAA2: 13389, овој пакет доаѓа од адресата БББ1, поминува ААА2, а потоа рутерот го прима и го пренесува до 192.168.A.1. 192.168.A.1 не знае ништо за 192.168.B.1, гледа пакет од БББ1, затоа што го доби. Затоа, одговорот на ова барање ја следи општата рута, доаѓа од адресата на ист начин ААА2 и оди на БББ1, и тој рутер го испраќа овој одговор до 192.168.B.1, го гледа одговорот од ААА2, на кого му се обратил.
Конкретен пример:
1) 192.168.B.1 апелира до ААА2, сака да воспостави TCP врска со AAA2: 13389;
2) 192.168.B.1 испраќа барање за поврзување од 192.168.B.1:55555 (овој број, како и во претходниот пример, може да биде различен) на AAA2: 13389;
3) оперативен систем кој работи на компјутер со адресата 192.168.B.1, одлучува да го препрати овој пакет до адресата на портата на рутерот (192.168.B.254 во нашиот случај), бидејќи други, поспецифични правци за ААА2, нема, што значи дека го пренесува пакетот преку стандардната рута (0.0.0.0/0);
4) за ова, како што споменавме во претходниот пример, се обидува да ја најде MAC адресата за IP адресата 192.168.B.254 во табелата за кешот на протоколот ARP. Ако не се открие, испраќа од адресата 192.168.B.1 емитува кој-има барање до мрежата 192.168.Б.0/24. Кога 192.168.B.254 како одговор, тој му ја испраќа својата MAC адреса, системот пренесува етернет пакет за него и ги внесува овие информации во својата кеш табела;
5) рутерот го прима овој пакет и одлучува каде да го проследи: има пишана политика според која мора да ги препрати (заменувајќи ја повратната адреса) сите пакети од 192.168.Б.0/24 до други интернет јазли;
6) бидејќи оваа политика имплицира дека повратната адреса мора да одговара на ниската адреса на интерфејсот преку кој ќе се пренесува овој пакет, рутерот прво одлучува кому точно да го испрати овој пакет и тој, како и во претходниот пример, мора да го испрати до БББ254 (ISP gateway), бидејќи има поспецифични рути до ААА2, од 0.0.0.0/0, нема;
7) затоа, рутерот ја заменува повратната адреса на пакетот, па отсега пакетот е од BBB1: 44444 (бројот на порта, се разбира, може да биде различен) до AAA2: 13389;
8) рутерот се сеќава што направил, што значи кога AAA2: 13389 к BBB1: 44444 пристигнува одговор, тој ќе знае дека треба да ја смени дестинационата адреса и пристаништето на 192.168.B.1:55555.
9) сега рутерот треба да го пренесе на интернет провајдерот преку БББ254оттука, исто како што веќе споменавме, ја наоѓа MAC адресата за БББ254 и го пренесува пакетот до портата на интернет провајдерот;
10) Интернет провајдерите пренесуваат пакети од БББ1 на ААА2;
11) вклучен виртуелен рутер ААА2 го прима овој пакет на портата 13389;
12) постои правило на виртуелниот рутер што пропишува дека пакетите добиени од кој било испраќач на оваа порта треба да се пренесат на 192.168.A.1:3389;
13) виртуелниот рутер ја наоѓа мрежата во рутирачката табела 192.168.А.0/24 и директно го испраќа 192.168.А.1 затоа што има интерфејс 192.168.А.254/24;
14) за ова, виртуелниот рутер ја наоѓа MAC адресата за 192.168.A.1 и го пренесува овој пакет до него преку виртуелна етернет мрежа;
15) 192.168.A.1 го прима овој пакет на портата 3389, се согласува да воспостави врска и генерира пакет како одговор од 192.168.A.1:3389 на BBB1: 44444;
16) неговиот систем го пренесува овој пакет до адресата на портата на виртуелниот рутер (192.168.A.254 во нашиот случај), бидејќи други, поспецифични правци за БББ1, нема, затоа, мора да го пренесе пакетот преку стандардната рута (0.0.0.0/0);
17) точно исто како и во претходните случаи, систем што работи на сервер со адресата 192.168.A.1, ја наоѓа MAC адресата 192.168.A.254, бидејќи е на истата мрежа со својот интерфејс 192.168.А.1/24;
18) виртуелниот рутер го прима овој пакет. Треба да се напомене дека се сеќава на што примил AAA2: 13389 пакет од BBB1: 44444 и ја смени адресата и пристаништето на примачот во 192.168.A.1:3389, според тоа, пакетот од 192.168.A.1:3389 за BBB1: 44444 ја менува адресата на испраќачот во AAA2: 13389;
19) виртуелниот рутер одлучува кому да го испрати овој пакет, тој го испраќа ААА254 (Исп портал, во овој случај, тоа сме и ние), бидејќи има поспецифични рути до БББ1, од 0.0.0.0/0, нема;
20) Интернет провајдерите пренесуваат пакет со ААА2 на БББ1;
21) вклучен рутер БББ1 го прима овој пакет и се сеќава дека кога го испратил пакетот од 192.168.B.1:55555 за AAA2: 13389, ја смени адресата и портата на испраќачот на BBB1: 44444, тогаш ова е одговорот до кој треба да се испрати 192.168.B.1:55555 (всушност, таму има уште неколку проверки, но не навлегуваме длабоко во тоа);
22) тој разбира дека треба да се пренесе директно до 192.168.B.1, бидејќи тој е на иста мрежа со него, затоа, има соодветен запис во рутирачката табела, што го принудува да испраќа пакети за целата 192.168.Б.0/24 директно;
23) рутерот ја наоѓа MAC адресата за 192.168.B.1 и му го предаде овој пакет;
24) оперативен систем на компјутер со адреса 192.168.B.1 добива пакет од AAA2: 13389 за 192.168.B.1:55555 и ги иницира следните чекори за воспоставување на TCP конекција.
Треба да се напомене дека во овој случај компјутерот со адресата 192.168.B.1 не знае ништо за серверот со адресата 192.168.A.1, комуницира само со ААА2. Исто така, серверот со адресата 192.168.A.1 не знае ништо за компјутерот со адресата 192.168.B.1. Тој смета дека е поврзан од адресата БББ1, а тој не знае ништо друго, така да се каже.
Исто така, треба да се забележи дека ако овој компјутер пристапи AAA2: 1540, врската нема да се воспостави бидејќи препраќањето конекција до портата 1540 не е конфигурирано на виртуелниот рутер, дури и ако на кој било сервер во виртуелната мрежа 192.168.А.0/24 (на пример, на сервер со адресата 192.168.A.1) и има некои услуги кои чекаат конекции на оваа порта. Доколку корисник на компјутер со адреса 192.168.B.1 Императив е да се воспостави врска со оваа услуга, таа мора да користи VPN, т.е. контактирајте директно 192.168.A.1:1540.
Треба да се нагласи дека секој обид за воспоставување врска со ААА1 (освен IPSec врската од БББ1 нема да биде успешна. Секој обид за воспоставување врски со ААА2, освен врските со портата 13389, исто така нема да бидат успешни.
Забележуваме и дека ако да ААА2 Ако некој друг аплицира (на пример, CCCC), сè што е наведено во ставовите 10-20 ќе важи и за него. Што се случува пред и после ова зависи од тоа што точно стои зад овој CCCC Ние немаме такви информации, затоа ве советуваме да се консултирате со администраторите на јазолот со адресата CCCC
Позиција три
И, обратно, ако со 192.168.A.1 нешто се испраќа до некоја порта што е конфигурирана да препраќа навнатре до BBB1 (на пример, 11111), исто така не завршува во VPN, туку едноставно тече од ААА1 и влегува во БББ1, и тој веќе го пренесува некаде во, да речеме, 192.168.B.2:3389. Тој го гледа овој пакет не од 192.168.A.1и од ААА1. И кога 192.168.B.2 одговори, пакетот доаѓа од БББ1 на AAA1, и подоцна доаѓа до иницијаторот за поврзување - 192.168.A.1.
Конкретен пример:
1) 192.168.A.1 апелира до БББ1, сака да воспостави TCP врска со BBB1: 11111;
2) 192.168.A.1 испраќа барање за поврзување од 192.168.A.1:55555 (овој број, како и во претходниот пример, може да биде различен) на BBB1: 11111;
3) оперативен систем кој работи на сервер со адресата 192.168.A.1, одлучува да го препрати овој пакет до адресата на портата на рутерот (192.168.A.254 во нашиот случај), бидејќи други, поспецифични правци за БББ1, нема, затоа, го пренесува пакетот преку стандардната рута (0.0.0.0/0);
4) за ова, како што споменавме во претходните примери, се обидува да ја најде MAC адресата за IP адресата 192.168.A.254 во табелата за кешот на протоколот ARP. Ако не се открие, испраќа од адресата 192.168.A.1 емитува кој-има барање до мрежата 192.168.А.0/24. Кога 192.168.A.254 како одговор, тој ѝ ја испраќа својата MAC адреса, системот пренесува Ethernet пакет за него и ги внесува овие информации во својата кеш табела;
5) виртуелниот рутер го прима овој пакет и одлучува каде да го проследи: има пишана политика според која мора да ги препрати (заменувајќи ја повратната адреса) сите пакети од 192.168.А.0/24 до други интернет јазли;
6) бидејќи оваа политика претпоставува дека повратната адреса мора да одговара на ниската адреса на интерфејсот преку кој ќе се пренесува овој пакет, виртуелниот рутер прво одлучува кому точно да го испрати овој пакет, а тој, како и во претходниот пример, мора да испрати тоа во ААА254 (Исп портал, во овој случај, тоа сме и ние), бидејќи има поспецифични рути до БББ1, од 0.0.0.0/0, нема;
7) тоа значи дека виртуелниот рутер ја заменува повратната адреса на пакетот, отсега тој е пакет од AAA1: 44444 (бројот на порта, се разбира, може да биде различен) до BBB1: 11111;
8) виртуелниот рутер се сеќава што направил, затоа, кога од BBB1: 11111 за AAA1: 44444 пристигнува одговор, тој ќе знае дека треба да ја смени дестинационата адреса и пристаништето на 192.168.A.1:55555.
9) сега виртуелниот рутер треба да го пренесе на мрежата на интернет провајдерот преку ААА254, па исто како што веќе споменавме, ја наоѓа MAC адресата за ААА254 и го пренесува пакетот до портата на интернет провајдерот;
10) Интернет провајдерите пренесуваат пакети од AAA1 до BBB1;
11) вклучен рутер БББ1 го прима овој пакет на портата 11111;
12) постои правило на виртуелниот рутер што пропишува дека пакетите што пристигнале од кој било испраќач на оваа порта треба да се пренесат на 192.168.B.2:3389;
13) рутерот ја наоѓа мрежата во рутирачката табела 192.168.Б.0/24 и го испраќа директно до 192.168.B.2, бидејќи има интерфејс 192.168.Б.254/24;
14) за ова, виртуелниот рутер ја наоѓа MAC адресата за 192.168.B.2 и го пренесува овој пакет до него преку виртуелна етернет мрежа;
15) 192.168.B.2 го прима овој пакет на портата 3389, се согласува да воспостави врска и генерира пакет како одговор од 192.168.B.2:3389 на AAA1: 44444;
16) неговиот систем го пренесува овој пакет до адресата на портата на рутерот (192.168.B.254 во нашиот случај), бидејќи други, поспецифични правци за ААА1, нема, затоа, мора да го пренесе пакетот преку стандардната рута (0.0.0.0/0);
17) на ист начин како и во претходните случаи, систем што работи на компјутер со адресата 192.168.B.2, ја наоѓа MAC адресата 192.168.B.254, бидејќи е на истата мрежа со својот интерфејс 192.168.Б.2/24;
18) рутерот го прима овој пакет. Треба да се напомене дека се сеќава на што примил BBB1: 11111 пакет од ААА1 и ја смени адресата и пристаништето на примачот во 192.168.B.2:3389, според тоа, пакетот од 192.168.B.2:3389 за AAA1: 44444 ја менува адресата на испраќачот во BBB1: 11111;
19) рутерот одлучува кому да го испрати овој пакет. Тој го испраќа до, да речеме, БББ254 (ISP gateway, чија точна адреса не ја знаеме), бидејќи нема поконкретни рути до ААА1, од 0.0.0.0/0, нема;
20) Интернет провајдерите пренесуваат пакет со БББ1 на ААА1;
21) вклучен виртуелен рутер ААА1 го прима овој пакет и се сеќава дека кога го испратил пакетот од 192.168.A.1:55555 за BBB1: 11111, ја смени адресата и портата на испраќачот на AAA1: 44444. Ова значи дека ова е одговорот до кој треба да се испрати 192.168.A.1:55555 (всушност, како што споменавме во претходниот пример, има и уште неколку проверки, но овојпат не навлегуваме во длабочина со нив);
22) тој разбира дека треба да се пренесе директно до 192.168.A.1, бидејќи тој е на иста мрежа со него, тоа значи дека има соодветен запис во рутирачката табела што го принудува да испраќа пакети на целата 192.168.А.0/24 директно;
23) рутерот ја наоѓа MAC адресата за 192.168.A.1 и му го предаде овој пакет;
24) оперативен систем на серверот со адресата 192.168.A.1 добива пакет од BBB1: 11111 за 192.168.A.1:55555 и ги иницира следните чекори за воспоставување на TCP конекција.
Сосема исто како и во претходниот случај, во овој случај серверот со адресата 192.168.A.1 не знае ништо за компјутерот со адресата 192.168.B.1, комуницира само со БББ1. Компјутер со адреса 192.168.B.1 исто така не знае ништо за серверот со адресата 192.168.A.1. Тој смета дека е поврзан од адресата ААА1, а останатото е скриено од него.
Излез
Вака се случува сè за врските во тунелот VPN помеѓу канцеларијата на клиентот и околината на облакот, како и за врските надвор од тунелот VPN. И ако имате какви било прашања или ви треба наша помош за решавање на проблеми со облакот,
Извор: www.habr.com